Bitrefill遭黑客攻击：174ETH via Tornado Cash被追踪

3月17日，加密礼品卡平台Bitrefill正式披露一起发生于3月1日的网络攻击事件。此次攻击手法与此前Lazarus Group / BlueNoroff针对加密资产行业公司的攻击方式存在诸多相似之处，引发行业高度关注。

攻击路径溯源：从员工设备到钱包权限

根据Bitrefill官方披露，攻击者最初通过入侵一名员工的笔记本电脑，获取了旧版系统凭证，进而突破内部安全防线，获得对核心钱包系统的访问权限。攻击者随即批量导出18,500条订单数据，包括用户邮箱、加密地址和IP信息，并伪造采购记录以消耗礼品卡库存，造成直接经济损失。

被盗资金流向追踪：穿透混币链路

Beosin安全团队结合威胁情报与链上交易数据，通过旗下区块链调查平台Beosin Trace对损失资金进行深入追踪，锁定三个疑似关联地址： - 0x5a0128e21cb8dc515ab8c4e5079b1f0444e92763 - 0x3d79f9012a13fe7948daaee3b8e9118371450d69 - TVfA8wz2quUvRvhqs8VtnCeMyV2VzFAW9R

其中，地址0x5a0128e21cb8dc515ab8c4e5079b1f0444e92763将174 ETH转入Tornado Cash。针对此类混币协议的资金追踪难度极高，但Beosin依托多起洗钱案件的实战经验，通过对充值与提取行为的时间序列、金额特征及操作模式进行交叉比对，运用自研智能追踪算法，成功实现对资金链路的穿透，定位到出金地址0x3d79f9012a13fe7948daaee3b8e9118371450d69。

该地址随后执行兑币跨链操作，将资金从ETH链转移至TRON链，并将179 ETH兑换为413,763.75 USDT。目前，最终沉淀地址TVfA8wz2quUvRvhqs8VtnCeMyV2VzFAW9R已持有575,212.91 USDT。

Beosin KYT高风险标记示例

上述地址均已由Beosin KYT系统标记为高风险，相关线索可供交易所与合规机构参考。本次事件再次凸显企业在身份验证、凭证管理与链上监控方面的薄弱环节，也印证了在复杂攻击链中，链上追踪能力已成为抵御金融犯罪的关键防线。