优惠论坛

标题: 六年后同一天再次被盗:Upbit成韩朝「链上战场」核心(转) [打印本页]
作者: caoch    时间: 2025-11-28 00:19
标题: 六年后同一天再次被盗:Upbit成韩朝「链上战场」核心(转)
市场反弹了,但交易平台又被盗了。0 \8 u) Q# q+ g% C6 N. W! F

5 c- ]0 l0 v( X9 N! Q11 月 27 日,韩国最大的加密货币交易平台 Upbit 确认发生安全漏洞,导致价值约 540 亿韩元(约 3680 万美元)的资产流失。5 G% h) E, {- |+ \

+ C2 T6 [; q" n& k# Q  h' k% L首尔时间 11 月 27 日凌晨 04:42(KST),当大多数韩国交易员还在沉睡时,Upbit 的 Solana 热钱包地址出现了异常的大规模资金流出。
3 n, W# S" `. ?" @( v6 ~, _* F/ e8 l& N& D3 e. C+ j4 E
据慢雾等安全机构的链上监测数据,攻击者并未采取单一资产转移的方式,而是对 Upbit 在 Solana 链上的资产进行了「清空式」掠夺。% r! t1 `% s, Z, b; X
+ G: b! Q+ i# P
被盗资产不仅包含核心代币 SOL 和稳定币 USDC,还覆盖了 Solana 生态内几乎所有主流的 SPL 标准代币。
# x8 D0 l1 C- j7 F5 v+ X5 Q3 v; r2 N& Q
2 u6 j8 C" w$ i5 B4 ?2 {# R
被盗资产清单(部分):
0 D% K7 V* B  G9 W
1 k" l( e: R) w· DeFi/基础设施类:JUP (Jupiter), RAY (Raydium), PYTH (Pyth Network), JTO (Jito), RENDER, IO 等。
2 P0 @, a" W% J2 w
+ w4 N1 Y2 {% a3 m· Meme/社区类:BONK, WIF, MOODENG, PENGU, MEW, TRUMP 等。
. D  C! f# {  ^
. Z9 v$ ?5 P" j9 h· 其他项目:ACS, DRIFT, ZETA, SONIC 等。& l- [, Y  [4 \" Q# |0 ?2 A3 p

& y- H. [  W. O, }. f这种一锅端的特征表明,攻击者极有可能获取了 Upbit 负责 Solana 生态热钱包的私钥权限,或者是签名服务器(Signing Server)遭到了直接控制,导致其能够对该钱包下的所有 SPL 代币进行授权转移。, C% v( }6 p/ d! T6 i

  x$ y& f% d' `& U对于 Upbit 这家占据韩国 80% 市场份额、以拥有韩国互联网振兴院(KISA)最高安全等级认证为傲的巨头来说,这无疑是一次惨痛的「破防」。- o1 ]$ v! K5 T! C, t2 M0 r
2 ?, U/ i# I/ j' M9 V
不过,这也不是韩国交易平台第一次被盗了。4 s* `1 B* v4 `  o; l
5 D4 t$ R4 i3 \6 q( @3 _/ O
如果将时间轴拉长,我们会发现韩国加密市场在过去八年里,实际上一直在被黑客,尤其是朝鲜黑客光顾。! L  u! Y1 R, F# B" U9 W

) O( R# K4 \) Z% \* A4 @/ x韩国加密市场,不仅是全球最疯狂的散户赌场,也是北朝鲜黑客最顺手的「提款机」。0 }* i1 r8 y) C- W

: g  a6 y$ r4 V% X/ S/ F- b3 d1 p八年朝韩攻防,被盗编年史
% W5 i  t' l. h# j  }# e# M. k) p$ ^+ q从早期的暴力破解到后来的社会工程学渗透,攻击手段不断进化,韩国交易平台的受难史也随之延长。
2 O) m, h& }5 c0 e, S3 |; d+ D0 O$ Y! ^  s# g
累计损失:约 2 亿美元(按被盗时价格;若按当前价格计算超过 12 亿美元,其中仅 2019 年 Upbit 被盗的 34.2 万枚 ETH 现值已超 10 亿美元)
, f% x$ u$ Z/ `- y. }% X  P1 X% A+ y6 c& E  h1 j6 ^
· 2017:蛮荒时代,黑客从员工电脑下手$ o6 v) V: s3 Z( ~
2017 年是加密牛市的起点,也是韩国交易平台噩梦的开始。; ]8 P% W. ~' g& F# }
% A# U: I3 t2 K5 d) ]4 Y: e
这一年,韩国最大的交易平台 Bithumb 率先「中招」。6 月,黑客入侵了一名 Bithumb 员工的个人电脑,窃取了约 31,000 名用户的个人信息,随后利用这些数据对用户发起定向钓鱼攻击,卷走约 3200 万美元。事后调查发现,员工电脑上存储着未加密的客户数据,公司甚至没有安装基本的安全更新软件。* m4 V% m9 |9 v* x! F

6 m5 n4 ]9 ]: L0 Q这暴露了当时韩国交易平台安全管理的草台状态,连「不要在私人电脑存客户数据」这种常识都没有建立。: F; H6 o& g1 V* S; X
% s: J6 _( ]$ Q( |
更具标志性意义的是中型交易平台 Youbit 的覆灭。这家交易平台在一年内遭受了两次毁灭性打击:4 月份丢失近 4000 枚比特币(约 500 万美元),12 月再次被盗走 17% 的资产。不堪重负的 Youbit 宣布破产,用户只能先提取 75% 的余额,剩余部分需等待漫长的破产清算。
5 ?' {* l6 F' A/ }2 |7 D& G% F* c/ n* \
Youbit 事件后,韩国互联网安全局(KISA)首次公开指控朝鲜是幕后黑手。这也向市场发出了一个信号:
. G2 [! B" l# _0 {* Q6 U: K& M
' M. A: C3 l- E. K交易平台面对的不再是普通网络窃贼,而是有着地缘ZZ目的的国家级黑客组织。
" H* b. y1 u! F: m* X( _$ a6 Y( N$ r4 y3 {9 d- b& ]/ ], q' ^
· 2018:热钱包大劫案0 c5 v* Y4 s0 @
2018 年 6 月,韩国市场经历了连续重创。
! f7 k( V* n3 J# J) k8 B4 `8 w$ n) J% u0 a& P6 g- l  A
6 月 10 日,中型交易平台 Coinrail 遭遇袭击,损失超过 4000 万美元。与此前不同,这次黑客主要掠夺的是当时火热的 ICO 代币(如 Pundi X 的 NPXS),而非比特币或以太坊。消息传出后,比特币价格短时暴跌超过 10%,整个加密市场在两天内蒸发超过 400 亿美元市值。
; E  c+ v( r6 M) ~5 o6 p7 H, z/ z  W" }8 p( b  [. }
仅仅十天后,韩国头部交易平台 Bithumb 也宣告失守,热钱包被盗走约 3100 万美元的 XRP 等代币。讽刺的是,攻击发生前几天,Bithumb 刚在推特上宣布正在「将资产转移至冷钱包以升级安全系统」。
' Q/ p9 T6 v/ p' Y; s; y7 h% I
2 D' S1 G, `6 o  w# y, f这是 Bithumb 一年半内第三次被黑客「光顾」。, m( N! m- f! I: V+ T' j. ~
2 Y0 k9 ^) p- P
「连环爆雷」严重打击了市场信心。事后,韩国科技部对国内 21 家交易平台进行安全审查,结果显示只有 7 家通过全部 85 项检查,剩余 14 家「随时可能暴露于黑客攻击风险中」,其中 12 家在冷钱包管理方面存在严重漏洞。; N! o. }* M; d/ l6 O

$ l& Z% N4 S) y  t; P· 2019:Upbit 的 342,000 枚 ETH 被盗  `* l) t0 H4 G/ U9 n9 R
2019 年 11 月 27 日,韩国最大交易平台 Upbit 遭遇了当时国内史上最大规模的单笔盗窃。
8 d% a. F3 @# G5 ^! B# w6 L- n* l4 b$ W% E" G$ y8 C/ N
黑客利用交易平台整理钱包的间隙,单笔转走了 342,000 枚 ETH。他们没有立即砸盘,而是通过「剥离链」(Peel Chain)技术,将资金拆解成无数笔小额交易,层层转移,最终流入数十家非 KYC 交易平台和混币器。
9 n8 c/ V- [: y6 ?9 h$ [& O, m
- q# Q' N% S/ B5 ]8 |9 p调查显示,57% 的被盗 ETH 以低于市场价 2.5% 的折扣在疑似朝鲜运营的交易平台兑换成比特币,剩余 43% 通过 13 个国家的 51 家交易平台洗白。! C+ i* Q3 d0 C) `

3 \( X  D5 A. q& }- N* I直到五年后的 2024 年 11 月,韩国警方才正式确认该案系朝鲜黑客组织 Lazarus Group 和 Andariel 所为。调查人员通过 IP 追踪、资金流向分析,以及攻击代码中出现的朝鲜特有词汇「흘한 일」(意为「不重要」)锁定了攻击者身份。# T0 G/ d" ~1 i8 `; J

; H& v6 C2 s/ M# C$ t4 d9 H! o" R韩国当局与美国 FBI 合作追踪资产,历经四年司法程序,最终从瑞士一家交易平台追回 4.8 枚比特币(约 6 亿韩元),并于 2024 年 10 月归还 Upbit。
% m7 Q! M- N! o  z3 Y( j3 [- z- f; O! J6 A  z( Q
不过相比被盗总额,这点追回几乎可以忽略不计。
3 b" }( _& d9 c( H- h* m
+ S. J$ P' ?5 y, j* m: ~· 2023:GDAC 事件0 x6 A( g" B3 |  F( ?
2023 年 4 月 9 日,中型交易平台 GDAC 遭遇攻击,损失约 1300 万美元——占其托管总资产的 23%。
9 f% T/ p+ X" L: C
8 w; k% }. i) K$ F% y被盗资产包括约 61 枚 BTC、350 枚 ETH、1000 万枚 WEMIX 代币和 22 万 USDT。黑客控制了 GDAC 的热钱包,并迅速将部分资金通过 Tornado Cash 混币器洗白。
0 d* ]" Q2 _" ]  v- r# f3 I% L
: E1 }9 x3 [5 G9 l9 }2 I* ]/ R7 r( n& n9 v· 2025:六年后的同一天,Upbit 再次沦陷5 `. ~8 r6 s9 m5 f2 b/ v
六年前的同一天(11 月 27 日),Upbit 曾损失 342,000 枚 ETH。# y- X- q0 K' N8 C3 F( E; m
- f/ h& x% x) V4 S2 X
历史再次重演。凌晨 4:42,Upbit 的 Solana 热钱包出现异常资金流出,约 540 亿韩元(3680 万美元)的资产被转移至未知地址。
4 ?# L* N/ P7 F1 @+ P1 i3 |
4 o; d$ O; V$ n9 F& x5 E! D2019 年 Upbit 事件之后,2020 年韩国正式实施《特定金融信息法》(特金法),要求所有交易平台取得 ISMS(信息安全管理体系)认证并在银行开设实名账户。大量无法达标的小型交易平台被迫退出市场,行业格局从「百所混战」收缩为少数几家巨头主导。Upbit 凭借 Kakao 系的资源背书和认证的通过,市场份额一度超过 80%。( s( ~- B2 V' O, I  ?2 M+ ]" Z
0 t4 P( p3 A, a; ]+ V8 c) N  _
但六年的合规建设,并没有让 Upbit 逃过这一劫。) k, o! K/ d; ~; k: t
1 c- }/ B5 C4 W, T" q- Z
截至发稿,Upbit 已宣布将用自有资产全额赔付用户损失,但关于攻击者身份和具体攻击路径,官方尚未公布详细信息。$ ?3 @* f. t+ F4 T
8 i1 `* A- N+ Y
泡菜溢价 、国家级黑客与核武器
+ \* ]+ L5 L- K! G$ t韩国交易平台频频被盗并非单纯的技术无能,而是地缘ZZ的悲剧投影。  [+ p# d3 _; O5 h# \: ?# w, t+ G6 @0 F

& M3 p$ Q5 v6 i- f6 a! D, O( i在一个高度中心化、流动性溢价极高且地理位置特殊的市场,韩国交易平台实际上是在用一家商业公司的安防预算,去对抗一个拥有核威慑诉求的国家级黑客部队。1 W) u9 B; N: \$ o% I& t$ }+ c
. N8 k& G% ~5 Z5 J7 P
这支部队有个名字:Lazarus Group
9 ?% i- E7 c" |: f
: \4 t+ z7 L% t: u' FLazarus 隶属于朝鲜侦察总局(RGB),是平壤最精锐的网络战力量之一。+ O  \( X4 ?$ A$ m/ Q* E) {
6 B( y" ]( d( y& B! q
在转向加密货币之前,他们已经在传统金融领域证明了自己的实力。
! X: W: _# g+ G! x" H& B* o& [2 H
- P8 L: P4 G* F- W) A- ?2014 年攻破索尼影业,2016 年从孟加拉国央行盗走 8100 万美元,2017 年策划了波及 150 个国家的 WannaCry 勒索病毒。# T8 ~& w$ d/ f3 r

7 N# M( }+ m3 {* b8 A5 W9 I" ^6 [2017 年起,Lazarus 将目标转向加密货币领域。原因很简单:
3 f6 j: {, j. ~& V3 K' y
- b4 b5 O& d1 R! {相比传统银行,加密货币交易平台监管更松、安全标准参差不齐,而且一旦得手,资金可以通过链上转移迅速跨境,绕开国际制裁体系。
- ^* m' `# c# }% H6 |* q2 n% z& j8 t7 B( j! j  x& \8 f
而韩国,恰好是最理想的猎场。0 W# ^! q# d: l% T5 ~( B
, ^, R; i9 c2 F6 Z$ r& }2 K: l
第一,韩国是地缘对抗的天然目标。对朝鲜而言,攻击韩国企业不仅能获取资金,还能在「敌国」制造混乱,一举两得。0 y' \3 Y( }! D" n! T* @

$ m4 n' r& y5 {* F& k- r7 F第二,泡菜溢价背后是肥美的资金池。韩国散户对加密货币的狂热举世闻名,而溢价的本质是供不应求,大量韩元涌入,追逐有限的加密资产。+ i4 I! B" V$ @( X$ p: P4 |1 o
, d6 n% A8 E7 K& d( X( n. k
这意味着韩国交易平台的热钱包里,长期躺着远超其他市场的流动性。对黑客来说,这就是一座金矿。7 m4 Q% j; n7 l2 A2 D
, ~# J- _. U* H/ |& \' v
第三,语言有优势。Lazarus 的攻击并非只靠技术暴力破解。他们擅长社会工程学,比如伪造招聘信息、发送钓鱼邮件、冒充客服套取验证码。
* [4 Q& d8 i1 \$ B! ]; D5 P+ u8 a6 t3 g, J
朝韩同文同种,语言障碍为零,这让针对韩国员工和用户的定向钓鱼攻击成功率大幅提升。
4 w! m+ {. f* p% V4 ~1 r. L0 p( @6 M" }  D. ?" r4 Z' `1 l1 e
被盗的钱去哪了?这可能才是故事最有看点的部分。; l* \% C# V1 a  z) A' b; m7 ^
: `) B" N8 W/ _. x
根据联合国报告和多家区块链分析公司的追踪,Lazarus 窃取的加密货币最终流向了朝鲜的核武器和弹道导弹计划
" `5 [7 n7 s$ ?. f( Y6 E5 d+ U
' M! C0 r( M/ @% j& G" I此前,路透社援引一份联合国机密报告称,朝鲜使用被盗的加密货币资金来帮助资助其导弹开发计划。! Z) k7 [  b3 m5 l

$ z9 B  U) N8 M2023 年 5 月,白宫副国家安全顾问 Anne Neuberger 公开表示,朝鲜导弹计划约 50% 的资金来自网络攻击和加密货币盗窃;这一比例相比她 2022 年 7 月给出的「约三分之一」进一步上升。
  V( s. C+ }& Y; X
+ w/ ?) w' H; f3 |6 v* M换句话说,每一次韩国交易平台被盗,都可能在间接为三八线对面的核弹头添砖加瓦。
& ]% L9 R" R" p! j3 r$ |, O: Z, d2 {3 K5 Q& t
同时,洗钱路径已经相当成熟:被盗资产先通过「剥离链」技术拆分成无数小额交易,再经由混币器(如 Tornado Cash、Sinbad)混淆来源,然后通过朝鲜自建的交易平台以折扣价兑换成比特币,最后通过中俄的地下渠道兑换成法币。
0 d& B! U' t" Z1 H9 |/ v0 l2 h! N' K
2019 年 Upbit 被盗的 34.2 万枚 ETH,韩国警方正式公布调查结果显示: 57% 在疑似朝鲜运营的三家交易平台以低于市场价 2.5% 的价格兑换成比特币,剩余 43% 通过 13 个国家的 51 家交易平台洗白。整个过程历时数年,至今绝大部分资金仍未追回。) O- S* i6 H! K4 r
0 J; q* I% @4 L( d6 O
这或许是韩国交易平台面临的根本困境:6 K: C& M+ K) o. \- _2 j& @
" X" |- |; {9 {" g& A9 d' f
一边是 Lazarus,一支拥有国家资源支持、可以 24 小时轮班作业、不计成本投入的黑客部队;另一边是 Upbit、Bithumb 这样的商业公司。
4 E6 k0 s; q0 w7 W, m3 P
) Z/ ?, j1 s$ e即便是通过审查的头部交易平台,在面对国家级高持续性威胁攻击时,依然力不从心。8 b: |$ I1 g- l, ]8 c
: s5 M8 `4 [2 d4 s5 P6 d0 j5 \2 x
不只是韩国的问题0 f3 y9 I0 \8 A7 i+ ]
八年、十余起攻击、约 2 亿美元损失,如果只把这当作韩国加密行业的本地新闻,就错过了更大的图景。! v+ n- N1 L# f$ O
. l. b8 N# u6 H9 ~/ l6 J& T
韩国交易平台的遭遇,是加密行业与国家级对手博弈的预演。
# N: ^- P+ K& M* O: `% f* T; R/ w; w& @/ J  n
朝鲜是最显眼的玩家,但不是唯一的玩家。俄罗斯某些高威胁攻击组织被指与多起 DeFi 攻击存在关联,伊朗黑客曾针对以色列加密公司发动攻击,朝鲜自己也早已把战场从韩国扩展到全球,比如 2025 年 Bybit 的 15 亿美元、2022 年 Ronin 的 6.25 亿美元,受害者遍布各大洲。
# U- {; M5 U$ H5 p
# C/ ]; u- y2 ]
% U4 I# v$ g" \. p* X加密行业有一个结构性矛盾,即一切必须经过中心化的入口。) N9 P2 ?8 Z3 F. F+ X0 Z
& N: ?1 W( w. t9 h0 _
无论链本身多么安全,用户的资产终究要通过交易平台、跨链桥、热钱包这些「咽喉要道」流动。
% d% k7 M0 ]7 N/ T
7 ]1 K3 F4 Q! ]. e7 ^$ B6 Y这些节点集中了海量资金,却由预算有限的商业公司运营;对国家级黑客而言,这是效率极高的狩猎场, O8 f+ ^" a( i9 M% F% M0 V
, J' w2 L+ B4 @$ [
攻防双方的资源从根本上不对等,Lazarus 可以失败一百次,交易平台只能失败一次。
1 S0 W" r* K0 K8 C1 _
1 G2 P& @) {1 ]& M3 M# a泡菜溢价还会继续吸引全球套利者和本土散户,Lazarus 不会因为被bao光而停手,韩国交易平台与国家级黑客的攻防战远未结束。
" X8 t* d1 p* Z( D- p% |4 m7 f$ i+ ^8 }" T3 }9 x7 [2 q+ S8 E
只是希望下一次被盗的,不是你自己的钱。
  b& |0 m% `) F: h" l
' H' p% X, W0 Z5 A/ s# T- C* |( _, B1 \' K( `0 F# t

3 ]3 r( l% z% Y5 }
: L; E% J. U5 |1 P( t; |
0 Z; E9 m$ g% u: `7 [$ D/ Q7 m. i' F
0 a0 |8 v3 b* B0 F0 v9 a! T+ P4 I7 V
作者: 22301    时间: 2025-11-28 07:49
这个被盗了也是很无奈的事情了。
作者: 赚钱小样    时间: 2025-11-28 10:44
这个核心方面也是很重要的啦。
作者: whywhy    时间: 2025-11-28 14:46
又是盗币事件,Upbit 运气真糟糕,540 亿韩元不是小数目啊
作者: rainwang    时间: 2025-11-28 15:25
如此特别的结果,看来真的是有意思了
作者: 垂钓园    时间: 2025-11-28 18:37
这操作太狠了,连SPL代币都不放过,Upbit真是躺枪啊
作者: 爱美的女人    时间: 2025-11-28 21:08
再次被盗也是没有太安全了
作者: 右耳    时间: 2025-11-29 12:59
Upbit这平台真够背,又双叒叕被盯上了,这回损失也太大了
作者: 舞出精彩    时间: 2025-11-29 14:19
那是要在看是什么样的先吧



欢迎光临 优惠论坛 (https://tcelue.co/) Powered by Discuz! X3.1