北韓駭客盯上禮品卡：一台筆電如何引爆全球加密貨幣危機

一名員工的筆記型電腦，成了1萬8500筆用戶資料外洩的缺口。

2026年3月18日，加密支付與禮品卡平台Bitrefill公開了3月1日遭受網路攻擊的完整細節，並將矛頭直指與北韓政府有關聯的駭客組織——拉撒路組織（Lazarus Group，又名Bluenoroff）。

這不只是一家公司的安全事故。它揭示的是：國家級網路攻擊已從針對大型交易所，悄悄轉移到加密生態系中更脆弱、更分散的環節——禮品卡供應鏈。

攻擊如何發生：從舊密碼到核心系統

攻擊的起點平淡無奇：一台被惡意軟體感染的員工筆電。電腦裡殘留的舊版登入憑證（legacy credentials），讓攻擊者得以一步步滲透進Bitrefill的生產環境金鑰，最終控制了部分資料庫與加密錢包。

攻擊者同時展開兩條戰線。一是從熱錢包（線上管理的加密資產錢包）提走資金；二是利用禮品卡供應鏈漏洞，異常下單套利。正是「特定供應商出現異常購買模式」這個訊號，讓Bitrefill察覺到入侵，隨即將系統下線止損。

外洩的資料包含約1萬8500筆購買記錄，涵蓋電子郵件地址、加密支付地址及IP位址。其中約1000筆還包含加密處理過的用戶名稱。Bitrefill表示，攻擊者執行的查詢集中在加密資產持倉與禮品卡庫存，而非大規模抽取整個資料庫，顯示這是一次目標明確的精準行動，而非無差別竊取。

目前大部分服務已恢復正常，損失將由公司營運資本吸收，不會轉嫁給用戶。

為什麼是禮品卡？北韓的「現金化」邏輯

拉撒路組織的過往戰績令人印象深刻：Ronin Network（損失約6.25億美元）、Harmony Horizon Bridge、WazirX、Atomic Wallet……每一次都是規模龐大的直接竊取。

廣告

廣告合作

[email protected]

廣告

但這次不同。攻擊者沒有試圖清空整個資料庫，而是精準鎖定「禮品卡庫存」。這背後有清晰的財務邏輯：禮品卡可以快速兌換成商品或再轉售，追蹤難度遠高於直接的加密轉帳。對於急需外匯的北韓政權而言，禮品卡是一條相對隱蔽的變現通道。

美國財政部的評估顯示，拉撒路組織過去數年間竊取的加密資產規模達數十億美元，被認為是北韓核武與飛彈計畫的重要資金來源之一。這意味著每一次針對加密平台的攻擊，都不僅僅是網路犯罪，而是地緣政治博弈的延伸。

對亞洲用戶與市場的影響

Bitrefill不強制要求KYC（身分驗證），僅儲存最少量的個人資料。這一設計深受重視隱私的用戶歡迎，在台灣、香港、東南亞華人社群中也有一定用戶基礎。

此次外洩的資料以電子郵件和IP位址為主，直接財務損失有限。但二次風險不容忽視：攻擊者掌握了「誰在用加密貨幣買什麼」的行為資料，這正是精準網路釣魚（spear phishing）的絕佳素材。Bitrefill特別提醒用戶，對任何自稱來自該平台或涉及加密貨幣的意外通訊保持警惕。

從更宏觀的角度看，這起事件對亞洲加密市場有三層意義：

對用戶：匿名使用加密服務的便利性，與潛在的安全風險之間，需要重新評估平衡點。

對企業：「一台員工筆電」就能撬開整個生產環境，說明內部存取控制與舊憑證管理是普遍性弱點，而非個案。在遠端辦公已成常態的今天，端點安全的重要性被嚴重低估。

對監管者：「加密支付＋禮品卡」的混合模式遊走於各國金融監管的灰色地帶。台灣金管會、香港證監會等機構對此類服務的監管框架尚不完整，此案或將加速相關討論。

不同視角下的這場攻擊

有人認為，Bitrefill的透明度值得肯定——在十多年運營中首次遭遇重大攻擊後，能在兩週內公開完整的攻擊鏈分析，並承諾自行承擔損失，這在加密業界並不常見。

但也有批評者指出，「不強制KYC」的設計本身就是一把雙刃劍。當平台無法確認用戶身分時，一旦發生攻擊，通知與補救的難度都會成倍增加。更根本的問題是：在國家級駭客面前，中小型加密服務平台的安全投入是否足夠？

值得關注的是，中國大陸已全面禁止加密貨幣交易，Bitrefill的服務在境內不可用。但這並不意味著中國用戶與此無關——透過VPN使用境外加密服務的用戶，其IP位址與行為資料的暴露風險可能更高，且幾乎無法尋求任何官方救濟管道。