优惠论坛

标题: 六年后同一天再次被盗:Upbit成韩朝「链上战场」核心(转) [打印本页]
作者: caoch    时间: 2025-11-28 00:19
标题: 六年后同一天再次被盗:Upbit成韩朝「链上战场」核心(转)
市场反弹了,但交易平台又被盗了。& e3 D- d5 c( e* U3 |+ A* |
2 c& A7 n7 g0 @& F# C* r/ k# ]
11 月 27 日,韩国最大的加密货币交易平台 Upbit 确认发生安全漏洞,导致价值约 540 亿韩元(约 3680 万美元)的资产流失。
) E- S% f0 O- B; d' Q. I2 W- ?+ S; O' V$ U% b5 x5 {3 ]
首尔时间 11 月 27 日凌晨 04:42(KST),当大多数韩国交易员还在沉睡时,Upbit 的 Solana 热钱包地址出现了异常的大规模资金流出。, v. m) K9 T% a& }  C' y4 V

+ Q) ^. g( p/ u( R9 q据慢雾等安全机构的链上监测数据,攻击者并未采取单一资产转移的方式,而是对 Upbit 在 Solana 链上的资产进行了「清空式」掠夺。
: u% t  [8 S% V
0 E9 ~6 O+ j( m被盗资产不仅包含核心代币 SOL 和稳定币 USDC,还覆盖了 Solana 生态内几乎所有主流的 SPL 标准代币。
$ T/ |' z, a. W& O
) q& E  [2 D8 {+ I$ g
1 w( U' x3 C0 \被盗资产清单(部分):5 o( N7 I: F, F% u+ Q
: B4 m7 |" b2 Y% z  ]- k  M
· DeFi/基础设施类:JUP (Jupiter), RAY (Raydium), PYTH (Pyth Network), JTO (Jito), RENDER, IO 等。* y7 w; }* Y" `( \% j; `

3 H' W( K. y2 y) ~7 M2 C$ J5 J. f· Meme/社区类:BONK, WIF, MOODENG, PENGU, MEW, TRUMP 等。
( s/ W: l8 u$ w( X" P5 b3 I6 f
, [  m. b7 W8 L! B& f: a. c· 其他项目:ACS, DRIFT, ZETA, SONIC 等。: g" J& n2 F2 T  N/ S' G  U

, A7 d! t  l  D2 p: Q0 i这种一锅端的特征表明,攻击者极有可能获取了 Upbit 负责 Solana 生态热钱包的私钥权限,或者是签名服务器(Signing Server)遭到了直接控制,导致其能够对该钱包下的所有 SPL 代币进行授权转移。
8 t2 v; P  s) }2 q3 m; q7 B& p3 p! b, o0 O) B
对于 Upbit 这家占据韩国 80% 市场份额、以拥有韩国互联网振兴院(KISA)最高安全等级认证为傲的巨头来说,这无疑是一次惨痛的「破防」。
" b" `; m4 [$ o" Y4 w8 N
5 ^3 o+ D+ K3 W: s7 t; j& M不过,这也不是韩国交易平台第一次被盗了。
* g( T* P+ ~# c
! z+ O$ j0 S# n. [# \0 }/ U如果将时间轴拉长,我们会发现韩国加密市场在过去八年里,实际上一直在被黑客,尤其是朝鲜黑客光顾。
+ j. O, Z1 i! l& `& P' l) c- p1 K: ?2 |( p! ?% g
韩国加密市场,不仅是全球最疯狂的散户赌场,也是北朝鲜黑客最顺手的「提款机」。4 e9 f! E) V7 S0 I

& G1 v* ?8 h4 R9 P) J$ E八年朝韩攻防,被盗编年史' D4 V7 z1 m; O" ]/ p9 @
从早期的暴力破解到后来的社会工程学渗透,攻击手段不断进化,韩国交易平台的受难史也随之延长。
0 r7 A8 s) `+ Y" j
# n' |, z( U. @4 F3 D$ }累计损失:约 2 亿美元(按被盗时价格;若按当前价格计算超过 12 亿美元,其中仅 2019 年 Upbit 被盗的 34.2 万枚 ETH 现值已超 10 亿美元)# q% ?- C7 O' g: }: L$ z+ }% D
3 d! ^8 ?1 ]8 V3 I- S# Y# X. m
· 2017:蛮荒时代,黑客从员工电脑下手
5 R  H/ x+ l& v3 ^, r; ~- K( x2017 年是加密牛市的起点,也是韩国交易平台噩梦的开始。8 U* P; U+ J' c$ I  ~1 S
9 u6 m) }  a; ]  [  W; {
这一年,韩国最大的交易平台 Bithumb 率先「中招」。6 月,黑客入侵了一名 Bithumb 员工的个人电脑,窃取了约 31,000 名用户的个人信息,随后利用这些数据对用户发起定向钓鱼攻击,卷走约 3200 万美元。事后调查发现,员工电脑上存储着未加密的客户数据,公司甚至没有安装基本的安全更新软件。
& l( S6 T1 Z3 p' u) |9 m
+ I  C, n, G" l9 F+ y/ j这暴露了当时韩国交易平台安全管理的草台状态,连「不要在私人电脑存客户数据」这种常识都没有建立。
$ }. q+ ^. `) k$ f( O) x
8 ]! X9 C% J; E& O- _3 ^更具标志性意义的是中型交易平台 Youbit 的覆灭。这家交易平台在一年内遭受了两次毁灭性打击:4 月份丢失近 4000 枚比特币(约 500 万美元),12 月再次被盗走 17% 的资产。不堪重负的 Youbit 宣布破产,用户只能先提取 75% 的余额,剩余部分需等待漫长的破产清算。$ }% z, N  Q2 o5 \2 H
5 A7 g+ g& Y5 i# B3 u. M  {
Youbit 事件后,韩国互联网安全局(KISA)首次公开指控朝鲜是幕后黑手。这也向市场发出了一个信号:/ L  v; B; p$ |2 h* ~+ o% P
9 ]6 F# `' z) S6 q/ I& N. O/ V' i: t
交易平台面对的不再是普通网络窃贼,而是有着地缘ZZ目的的国家级黑客组织。
4 ~# n' Y, U( {
1 E& Y3 {" ^5 y) o; w· 2018:热钱包大劫案
8 E  Y, D9 R  z8 [( Q, c' m/ E6 t2018 年 6 月,韩国市场经历了连续重创。
( O" l# b0 {. r  V) H! j1 M2 x5 g+ W! S* @2 ?; n8 {/ s
6 月 10 日,中型交易平台 Coinrail 遭遇袭击,损失超过 4000 万美元。与此前不同,这次黑客主要掠夺的是当时火热的 ICO 代币(如 Pundi X 的 NPXS),而非比特币或以太坊。消息传出后,比特币价格短时暴跌超过 10%,整个加密市场在两天内蒸发超过 400 亿美元市值。, }; l' X4 r2 r- Z9 y

, j7 l( f/ L% u, M* E* _/ ?, S# ]仅仅十天后,韩国头部交易平台 Bithumb 也宣告失守,热钱包被盗走约 3100 万美元的 XRP 等代币。讽刺的是,攻击发生前几天,Bithumb 刚在推特上宣布正在「将资产转移至冷钱包以升级安全系统」。' W. r! g, _5 H

% }9 J' g% d& y  P, V1 E+ B; C这是 Bithumb 一年半内第三次被黑客「光顾」。* H$ t  Q! x3 U* B( S
$ g0 o! r1 `( M# T
「连环爆雷」严重打击了市场信心。事后,韩国科技部对国内 21 家交易平台进行安全审查,结果显示只有 7 家通过全部 85 项检查,剩余 14 家「随时可能暴露于黑客攻击风险中」,其中 12 家在冷钱包管理方面存在严重漏洞。4 h2 t9 ^1 p" b0 r

5 z; K; [& z9 w; X- t: p% E· 2019:Upbit 的 342,000 枚 ETH 被盗; K1 B# x7 K7 [
2019 年 11 月 27 日,韩国最大交易平台 Upbit 遭遇了当时国内史上最大规模的单笔盗窃。
, {' {% Y- g; R* H4 s1 T
  Q) X$ W6 O9 ^6 g黑客利用交易平台整理钱包的间隙,单笔转走了 342,000 枚 ETH。他们没有立即砸盘,而是通过「剥离链」(Peel Chain)技术,将资金拆解成无数笔小额交易,层层转移,最终流入数十家非 KYC 交易平台和混币器。
) \% N8 s9 l8 K% z0 l0 d* `# K1 _, U
调查显示,57% 的被盗 ETH 以低于市场价 2.5% 的折扣在疑似朝鲜运营的交易平台兑换成比特币,剩余 43% 通过 13 个国家的 51 家交易平台洗白。
9 y5 s  l6 G+ _" p  `9 @# S$ ^/ ?4 C. Q4 e( w& C  S
直到五年后的 2024 年 11 月,韩国警方才正式确认该案系朝鲜黑客组织 Lazarus Group 和 Andariel 所为。调查人员通过 IP 追踪、资金流向分析,以及攻击代码中出现的朝鲜特有词汇「흘한 일」(意为「不重要」)锁定了攻击者身份。6 C# n& N7 s# x& ]4 J
) }1 v% i+ z1 ?$ U  c4 g$ y, Z
韩国当局与美国 FBI 合作追踪资产,历经四年司法程序,最终从瑞士一家交易平台追回 4.8 枚比特币(约 6 亿韩元),并于 2024 年 10 月归还 Upbit。
5 l# G0 ]- e; h1 X& H+ _& o- A* O0 h" H) q! q) K- A
不过相比被盗总额,这点追回几乎可以忽略不计。' K0 _1 q- o6 a/ }% I  D

# e6 I% M5 i+ A6 U6 i$ \· 2023:GDAC 事件$ g6 N3 L2 T7 S; m
2023 年 4 月 9 日,中型交易平台 GDAC 遭遇攻击,损失约 1300 万美元——占其托管总资产的 23%。
5 g( M8 l( ~6 O1 k
  Q8 n; D( ]& O. Q) C6 s! }被盗资产包括约 61 枚 BTC、350 枚 ETH、1000 万枚 WEMIX 代币和 22 万 USDT。黑客控制了 GDAC 的热钱包,并迅速将部分资金通过 Tornado Cash 混币器洗白。: R' ^) }6 b; ]! Q

  n7 Q1 @0 }+ H0 B+ K1 }2 Y9 ^& c· 2025:六年后的同一天,Upbit 再次沦陷# w: Q' E1 k! {% s4 H- v3 J
六年前的同一天(11 月 27 日),Upbit 曾损失 342,000 枚 ETH。& C. r( i9 [) r; J" `: t, W  H

; G3 z% S; B/ X" T7 z历史再次重演。凌晨 4:42,Upbit 的 Solana 热钱包出现异常资金流出,约 540 亿韩元(3680 万美元)的资产被转移至未知地址。
- K$ y0 I: F7 _/ ?" k9 O  T- w' a
) ?9 @* z* D9 W" t# c( G2019 年 Upbit 事件之后,2020 年韩国正式实施《特定金融信息法》(特金法),要求所有交易平台取得 ISMS(信息安全管理体系)认证并在银行开设实名账户。大量无法达标的小型交易平台被迫退出市场,行业格局从「百所混战」收缩为少数几家巨头主导。Upbit 凭借 Kakao 系的资源背书和认证的通过,市场份额一度超过 80%。
6 y, r% \6 ^) z+ r
% G0 H- k3 c% d& t$ a  ?但六年的合规建设,并没有让 Upbit 逃过这一劫。
! ^) S9 h, T7 W8 W+ ~; B/ {; z0 [- g( i4 I0 k5 J1 n" k1 G" m
截至发稿,Upbit 已宣布将用自有资产全额赔付用户损失,但关于攻击者身份和具体攻击路径,官方尚未公布详细信息。2 C, ^* a/ p9 @) v( g2 F
5 O) F, }; H9 l. ~! |  ~3 ^
泡菜溢价 、国家级黑客与核武器
  |4 C3 {9 E. @; y0 X) |韩国交易平台频频被盗并非单纯的技术无能,而是地缘ZZ的悲剧投影。5 T$ d+ V- f9 n, @0 s# g( W- ?  R

1 E! j0 R& Q% x- p在一个高度中心化、流动性溢价极高且地理位置特殊的市场,韩国交易平台实际上是在用一家商业公司的安防预算,去对抗一个拥有核威慑诉求的国家级黑客部队。
9 ?* D! Q: D4 z
2 r6 U, x8 Q. l# `3 j  c) ?这支部队有个名字:Lazarus Group  V6 p( R4 ~! s3 k  G; G7 m
' I8 ]5 ?  P1 s0 \4 M: Y
Lazarus 隶属于朝鲜侦察总局(RGB),是平壤最精锐的网络战力量之一。' Z5 k8 w5 L% S$ S5 C0 s) v5 m
  q9 [, V* d( c0 Q5 y& i7 @# u
在转向加密货币之前,他们已经在传统金融领域证明了自己的实力。
' i/ O7 j- m  k% ^0 j4 ^8 r  M$ S" W, U/ c
2014 年攻破索尼影业,2016 年从孟加拉国央行盗走 8100 万美元,2017 年策划了波及 150 个国家的 WannaCry 勒索病毒。
( K3 ~+ B7 l+ Q/ k' ~0 B' N
" k) U0 P" ]) m$ u( s& C2017 年起,Lazarus 将目标转向加密货币领域。原因很简单:4 ]# T' g* ^1 z* ^* \, V8 U
; s& j* a+ A+ g! R7 B# a. j
相比传统银行,加密货币交易平台监管更松、安全标准参差不齐,而且一旦得手,资金可以通过链上转移迅速跨境,绕开国际制裁体系。" o& d' C9 G' a: R) |4 M
# ^; m* k+ [( ]+ m" `5 Z' u7 b
而韩国,恰好是最理想的猎场。
1 L+ e8 f: t. y: P) T# _% s) q" A1 L8 n  P: `+ ]0 R
第一,韩国是地缘对抗的天然目标。对朝鲜而言,攻击韩国企业不仅能获取资金,还能在「敌国」制造混乱,一举两得。
) p& c9 S  P* s0 {2 |: D, J- t% ]' z' Q  M- H
第二,泡菜溢价背后是肥美的资金池。韩国散户对加密货币的狂热举世闻名,而溢价的本质是供不应求,大量韩元涌入,追逐有限的加密资产。: T8 E, C% m5 A7 V
' ?' r( S& }6 _, m2 e  E
这意味着韩国交易平台的热钱包里,长期躺着远超其他市场的流动性。对黑客来说,这就是一座金矿。  n; q, M7 l0 _+ C0 A+ J* g/ l

. S% ~6 x! B; @- l5 ~第三,语言有优势。Lazarus 的攻击并非只靠技术暴力破解。他们擅长社会工程学,比如伪造招聘信息、发送钓鱼邮件、冒充客服套取验证码。
8 |/ y6 d9 m  D' c( F* f8 A5 w* U1 c8 r1 v1 [$ R; C6 M1 p
朝韩同文同种,语言障碍为零,这让针对韩国员工和用户的定向钓鱼攻击成功率大幅提升。. x$ \' o+ @4 v* g) h1 @, S

/ `& I: S# \; c" }; m被盗的钱去哪了?这可能才是故事最有看点的部分。
% T; L, ?  L+ N7 K9 f0 O+ e  N# W* H- T% w, f% M
根据联合国报告和多家区块链分析公司的追踪,Lazarus 窃取的加密货币最终流向了朝鲜的核武器和弹道导弹计划
: b, |& e8 H7 S4 B! d
0 A( g# V# @4 L; o此前,路透社援引一份联合国机密报告称,朝鲜使用被盗的加密货币资金来帮助资助其导弹开发计划。
( w; K* e, M+ G: i' ^/ Q; Q! K
8 Z6 V2 _; ^* {; c. h* r2023 年 5 月,白宫副国家安全顾问 Anne Neuberger 公开表示,朝鲜导弹计划约 50% 的资金来自网络攻击和加密货币盗窃;这一比例相比她 2022 年 7 月给出的「约三分之一」进一步上升。
: j1 ^! T. |4 I% ^( m
8 U& y0 y: S6 S换句话说,每一次韩国交易平台被盗,都可能在间接为三八线对面的核弹头添砖加瓦。
' r6 F+ k- V8 \8 o( T# M! S
5 a: j! `* T1 ]; `同时,洗钱路径已经相当成熟:被盗资产先通过「剥离链」技术拆分成无数小额交易,再经由混币器(如 Tornado Cash、Sinbad)混淆来源,然后通过朝鲜自建的交易平台以折扣价兑换成比特币,最后通过中俄的地下渠道兑换成法币。
' J4 w: \) ?3 p6 O
3 F9 h% K: c; V! b5 u2019 年 Upbit 被盗的 34.2 万枚 ETH,韩国警方正式公布调查结果显示: 57% 在疑似朝鲜运营的三家交易平台以低于市场价 2.5% 的价格兑换成比特币,剩余 43% 通过 13 个国家的 51 家交易平台洗白。整个过程历时数年,至今绝大部分资金仍未追回。& _$ z) F- E, h8 N& J4 K1 j, S

) V0 [/ R3 ^; ?9 D. a0 m这或许是韩国交易平台面临的根本困境:
* y$ M, j. e- n3 V1 |4 V- G6 @! D( E( ^+ o
一边是 Lazarus,一支拥有国家资源支持、可以 24 小时轮班作业、不计成本投入的黑客部队;另一边是 Upbit、Bithumb 这样的商业公司。' J; {5 C3 r+ ]; Y" |; I1 r7 F9 k

" Q9 |2 i- p4 T) |0 @" v4 s即便是通过审查的头部交易平台,在面对国家级高持续性威胁攻击时,依然力不从心。
, O, u$ i" D# P7 X
7 B' m9 T3 y0 ^" ?) p" _5 m不只是韩国的问题& F0 ^* ~4 x8 ^5 o- S; T
八年、十余起攻击、约 2 亿美元损失,如果只把这当作韩国加密行业的本地新闻,就错过了更大的图景。: E- q3 r' O- Z2 {+ j) l9 r

9 q0 ~7 F8 F% ^韩国交易平台的遭遇,是加密行业与国家级对手博弈的预演。1 E- a. _4 E/ n1 f) J
& y- L- P4 f' H  Y5 x# x
朝鲜是最显眼的玩家,但不是唯一的玩家。俄罗斯某些高威胁攻击组织被指与多起 DeFi 攻击存在关联,伊朗黑客曾针对以色列加密公司发动攻击,朝鲜自己也早已把战场从韩国扩展到全球,比如 2025 年 Bybit 的 15 亿美元、2022 年 Ronin 的 6.25 亿美元,受害者遍布各大洲。& J* a& e% k3 R: e7 T( S5 u
4 b5 w4 B. @  U6 F# }

5 ?4 c9 l& D' |* c" z* N6 ]* S加密行业有一个结构性矛盾,即一切必须经过中心化的入口。0 G0 s8 e4 l6 M! J% x( t
  N1 H2 _) z/ u$ U- k) s- y
无论链本身多么安全,用户的资产终究要通过交易平台、跨链桥、热钱包这些「咽喉要道」流动。
. o1 p. }" b9 _; c
' k* {) k/ |' b4 F这些节点集中了海量资金,却由预算有限的商业公司运营;对国家级黑客而言,这是效率极高的狩猎场
0 [- z, s* S) B5 X$ W
2 H- {6 U( n4 Z: S# @攻防双方的资源从根本上不对等,Lazarus 可以失败一百次,交易平台只能失败一次。
* `  v7 |& Z2 ^! n; z) d! K- Y2 t0 {- y, P: h
泡菜溢价还会继续吸引全球套利者和本土散户,Lazarus 不会因为被bao光而停手,韩国交易平台与国家级黑客的攻防战远未结束。
# n' f- L# a  S  l8 Z; m3 x: T; F7 i( C0 M+ O% z$ Z
只是希望下一次被盗的,不是你自己的钱。( J3 {" k; t1 i1 V6 j3 c

: S3 F, E; j, ?2 U0 w8 O
% a& M" ]3 f, N
: F" ^2 y, `; O' i9 J
6 @2 j1 H$ R1 @& g# r2 Z
9 N/ U. G/ l0 W3 y) l1 Z. K) @' U

" r  g. p, t( j' p$ T5 P* U* _
作者: 22301    时间: 2025-11-28 07:49
这个被盗了也是很无奈的事情了。
作者: 赚钱小样    时间: 2025-11-28 10:44
这个核心方面也是很重要的啦。
作者: whywhy    时间: 2025-11-28 14:46
又是盗币事件,Upbit 运气真糟糕,540 亿韩元不是小数目啊
作者: rainwang    时间: 2025-11-28 15:25
如此特别的结果,看来真的是有意思了
作者: 垂钓园    时间: 2025-11-28 18:37
这操作太狠了,连SPL代币都不放过,Upbit真是躺枪啊
作者: 爱美的女人    时间: 2025-11-28 21:08
再次被盗也是没有太安全了
作者: 右耳    时间: 2025-11-29 12:59
Upbit这平台真够背,又双叒叕被盯上了,这回损失也太大了
作者: 舞出精彩    时间: 2025-11-29 14:19
那是要在看是什么样的先吧
作者: 小作文    时间: 2025-11-30 13:34
六年前就中过招,Upbit这风控是真让人心累,大额提现还是冷钱包靠谱点
作者: g9527    时间: 2025-12-1 21:42
又是Upbit被盗,这安全漏洞也太吓人了
作者: 德罗星    时间: 2025-12-3 18:28
很是非常的转载的情况的啊。
作者: 叫我十三    时间: 2025-12-5 07:22
这波 Upbit 真是魔咒了,又到这天就出事,安全还能信吗
作者: whywhy    时间: 2025-12-8 13:36
又被盗了,Upbit 这次损失惨重啊,教训总结要及时,防范措施也得加强
作者: g9527    时间: 2025-12-10 17:58
这Upbit咋又给掏空了,六年了还是不长记性啊
作者: g9527    时间: 2025-12-16 19:13
这Upbit咋又双叒叕被一锅端了,六年了还没长记性啊
作者: g9527    时间: 2025-12-19 20:56
这Upbit六年了咋还这么不长记性,热钱包跟自家后院似的
作者: 右耳    时间: 2025-12-26 19:11
哎,又见老平台出事,真是让人心里拔凉拔凉的
作者: 叫我十三    时间: 2026-1-6 00:30
哎,这Upbit也是没谁了,隔几年就被盯上一次,这链上战场真不是闹着玩的
作者: g9527    时间: 2026-1-13 19:29
这Upbit咋又中招了,热钱包跟不设防似的
作者: 右耳    时间: 2026-1-16 17:56
这操作跟割韭菜似的,平台不牢靠,钱包比命还金贵
作者: g9527    时间: 2026-1-17 18:42
这Upbit六年了还不长记性,热钱包跟公共厕所似的谁都能进



欢迎光临 优惠论坛 (https://tcelue.co/) Powered by Discuz! X3.1