优惠论坛

标题: 六年后同一天再次被盗:Upbit成韩朝「链上战场」核心(转) [打印本页]
作者: caoch    时间: 2025-11-28 00:19
标题: 六年后同一天再次被盗:Upbit成韩朝「链上战场」核心(转)
市场反弹了,但交易平台又被盗了。. w$ Z- b, k% R* R, ?3 Z; R
' v! m% D; e4 }* R" v
11 月 27 日,韩国最大的加密货币交易平台 Upbit 确认发生安全漏洞,导致价值约 540 亿韩元(约 3680 万美元)的资产流失。( u( }" `, ~/ l2 `: ]% }

  S* s  X% \4 ~! \" v+ q首尔时间 11 月 27 日凌晨 04:42(KST),当大多数韩国交易员还在沉睡时,Upbit 的 Solana 热钱包地址出现了异常的大规模资金流出。) F. I6 p' {6 s* m& B! u- [

: @. S- l7 i$ o7 f* c, w( O+ n% d据慢雾等安全机构的链上监测数据,攻击者并未采取单一资产转移的方式,而是对 Upbit 在 Solana 链上的资产进行了「清空式」掠夺。
8 K+ |4 @' c6 c1 d9 e& K# U" H+ K5 i/ q9 A; ~" |; @5 V1 L0 \1 Z
被盗资产不仅包含核心代币 SOL 和稳定币 USDC,还覆盖了 Solana 生态内几乎所有主流的 SPL 标准代币。5 i( o, p7 A0 V! o3 i
" }: m3 T3 h9 p4 q7 R* @

8 n: P& W% H5 Q  q被盗资产清单(部分):
' d3 V* i5 r7 t1 {. F1 _- g% I2 G6 M1 H. b, p
· DeFi/基础设施类:JUP (Jupiter), RAY (Raydium), PYTH (Pyth Network), JTO (Jito), RENDER, IO 等。
) T5 V9 v# W' S# n/ [/ F4 S5 V3 N8 `% ]2 Y: j
· Meme/社区类:BONK, WIF, MOODENG, PENGU, MEW, TRUMP 等。( W, |2 H# F/ A) v( U* p
* \# B1 _7 t# x2 L( Y' H; _3 v! X  ~
· 其他项目:ACS, DRIFT, ZETA, SONIC 等。
! r: C0 a6 c8 d2 D) O' S! G$ F4 l' ^6 s1 e# M: g7 n8 m% z! [
这种一锅端的特征表明,攻击者极有可能获取了 Upbit 负责 Solana 生态热钱包的私钥权限,或者是签名服务器(Signing Server)遭到了直接控制,导致其能够对该钱包下的所有 SPL 代币进行授权转移。& p2 g, p, i* M, w
% O9 S+ Y6 M  @) R6 X8 ]. Q! ?6 o  W: q
对于 Upbit 这家占据韩国 80% 市场份额、以拥有韩国互联网振兴院(KISA)最高安全等级认证为傲的巨头来说,这无疑是一次惨痛的「破防」。
5 c: P& V% e0 L/ E7 m! D# R/ X
5 F/ A$ x4 A$ ~# C1 N# D* G% F不过,这也不是韩国交易平台第一次被盗了。
+ h5 I6 H9 ?! w% V
7 ^* ^& `: I  ?) K( q- a如果将时间轴拉长,我们会发现韩国加密市场在过去八年里,实际上一直在被黑客,尤其是朝鲜黑客光顾。
% Z# z" N4 M, \3 a2 ^  N) m2 S
0 c- `3 S; b5 S( K0 F5 ]) N. S  `4 n韩国加密市场,不仅是全球最疯狂的散户赌场,也是北朝鲜黑客最顺手的「提款机」。
3 |4 j0 n+ q+ p% `3 z+ q8 ?2 m3 s; f$ v. U4 q  X
八年朝韩攻防,被盗编年史9 u4 q% @1 K) b8 x- h; f
从早期的暴力破解到后来的社会工程学渗透,攻击手段不断进化,韩国交易平台的受难史也随之延长。
  u4 R$ c+ f& ~2 q) D
1 {# f, w" r' ~6 K& G% x累计损失:约 2 亿美元(按被盗时价格;若按当前价格计算超过 12 亿美元,其中仅 2019 年 Upbit 被盗的 34.2 万枚 ETH 现值已超 10 亿美元)( A& i% z: N4 T' F5 B

9 ^" n* o) A4 O' n; r7 |· 2017:蛮荒时代,黑客从员工电脑下手3 `, J' u7 ^7 L4 f; d7 f  R& a
2017 年是加密牛市的起点,也是韩国交易平台噩梦的开始。0 V5 }) v/ ~( _- ]$ `

/ y+ W! K4 f. u  o9 ~, P2 z这一年,韩国最大的交易平台 Bithumb 率先「中招」。6 月,黑客入侵了一名 Bithumb 员工的个人电脑,窃取了约 31,000 名用户的个人信息,随后利用这些数据对用户发起定向钓鱼攻击,卷走约 3200 万美元。事后调查发现,员工电脑上存储着未加密的客户数据,公司甚至没有安装基本的安全更新软件。# W* q  E/ D3 W; E8 W+ _

6 K" C7 d9 C; M2 m1 A这暴露了当时韩国交易平台安全管理的草台状态,连「不要在私人电脑存客户数据」这种常识都没有建立。
5 z+ [* V2 g' a, U' t- b1 ]) r
5 p" j3 E& K$ r0 c; i! o0 A- w更具标志性意义的是中型交易平台 Youbit 的覆灭。这家交易平台在一年内遭受了两次毁灭性打击:4 月份丢失近 4000 枚比特币(约 500 万美元),12 月再次被盗走 17% 的资产。不堪重负的 Youbit 宣布破产,用户只能先提取 75% 的余额,剩余部分需等待漫长的破产清算。
  b5 M5 |- ]: d  l; F9 H) T' H4 d
8 b4 J+ g/ N! L/ f$ \; N+ X) NYoubit 事件后,韩国互联网安全局(KISA)首次公开指控朝鲜是幕后黑手。这也向市场发出了一个信号:
; P. M! V5 F8 r7 ]/ Y8 r9 d" t; b. b9 `- }1 H9 I/ ]
交易平台面对的不再是普通网络窃贼,而是有着地缘ZZ目的的国家级黑客组织。4 R; d8 j- w' F( T$ q7 d* G5 j7 p+ }6 M
8 T7 P- _/ ?2 y5 i. K
· 2018:热钱包大劫案8 p1 t" v3 _/ P( `8 A# `! _4 f
2018 年 6 月,韩国市场经历了连续重创。) N, q/ O. ^" b

5 j% S' Y- k, `" V6 月 10 日,中型交易平台 Coinrail 遭遇袭击,损失超过 4000 万美元。与此前不同,这次黑客主要掠夺的是当时火热的 ICO 代币(如 Pundi X 的 NPXS),而非比特币或以太坊。消息传出后,比特币价格短时暴跌超过 10%,整个加密市场在两天内蒸发超过 400 亿美元市值。- X; L- B, X; G/ F! B
& W! k4 V' g/ [$ f
仅仅十天后,韩国头部交易平台 Bithumb 也宣告失守,热钱包被盗走约 3100 万美元的 XRP 等代币。讽刺的是,攻击发生前几天,Bithumb 刚在推特上宣布正在「将资产转移至冷钱包以升级安全系统」。
3 H# y$ e- E7 v8 i- z5 M) M
; ^( ]9 P0 b2 f2 V( X这是 Bithumb 一年半内第三次被黑客「光顾」。, W% T% L& c" n2 m

& [& E( p7 E! c' z' [1 {# ~「连环爆雷」严重打击了市场信心。事后,韩国科技部对国内 21 家交易平台进行安全审查,结果显示只有 7 家通过全部 85 项检查,剩余 14 家「随时可能暴露于黑客攻击风险中」,其中 12 家在冷钱包管理方面存在严重漏洞。( x  O0 j! n- u/ J& e$ X+ y
4 p' o3 w9 r- r5 L, K# p/ g/ B
· 2019:Upbit 的 342,000 枚 ETH 被盗* o8 T# m6 C" b- @7 r! t# s$ c7 y
2019 年 11 月 27 日,韩国最大交易平台 Upbit 遭遇了当时国内史上最大规模的单笔盗窃。5 N. f0 W5 W/ y  V

: F5 b9 O- ?9 Y8 t" L) ?黑客利用交易平台整理钱包的间隙,单笔转走了 342,000 枚 ETH。他们没有立即砸盘,而是通过「剥离链」(Peel Chain)技术,将资金拆解成无数笔小额交易,层层转移,最终流入数十家非 KYC 交易平台和混币器。
9 \3 S! U% @- L2 H; g" F4 P( o8 \7 B% t: I' y" w
调查显示,57% 的被盗 ETH 以低于市场价 2.5% 的折扣在疑似朝鲜运营的交易平台兑换成比特币,剩余 43% 通过 13 个国家的 51 家交易平台洗白。$ _; x5 f/ ]* O$ V2 _

! I* g* B& g; W6 Y- V直到五年后的 2024 年 11 月,韩国警方才正式确认该案系朝鲜黑客组织 Lazarus Group 和 Andariel 所为。调查人员通过 IP 追踪、资金流向分析,以及攻击代码中出现的朝鲜特有词汇「흘한 일」(意为「不重要」)锁定了攻击者身份。# T  _1 p4 p- Y; q

/ s% \! l3 \9 S. U韩国当局与美国 FBI 合作追踪资产,历经四年司法程序,最终从瑞士一家交易平台追回 4.8 枚比特币(约 6 亿韩元),并于 2024 年 10 月归还 Upbit。
* I) R+ V1 g3 ]6 C0 v$ ^* j) b; C$ q& J  d) I
不过相比被盗总额,这点追回几乎可以忽略不计。
; }  ]* S! @+ T4 S0 m
2 p2 S: v% R4 H/ C· 2023:GDAC 事件) W3 e/ ?" j; h4 l0 b$ m+ g' \
2023 年 4 月 9 日,中型交易平台 GDAC 遭遇攻击,损失约 1300 万美元——占其托管总资产的 23%。
0 E& ^" ]$ P1 E6 Y, o8 Y. F0 w4 ], C! d: g7 u2 o
被盗资产包括约 61 枚 BTC、350 枚 ETH、1000 万枚 WEMIX 代币和 22 万 USDT。黑客控制了 GDAC 的热钱包,并迅速将部分资金通过 Tornado Cash 混币器洗白。
8 {/ N  x& _% I" ^! g; T2 U. n' n2 N  `$ ]
· 2025:六年后的同一天,Upbit 再次沦陷0 J- |- Q: U: K3 a4 M0 j
六年前的同一天(11 月 27 日),Upbit 曾损失 342,000 枚 ETH。
, I* i( e5 b# y6 @. }8 J$ K, [% F* b) E2 d
历史再次重演。凌晨 4:42,Upbit 的 Solana 热钱包出现异常资金流出,约 540 亿韩元(3680 万美元)的资产被转移至未知地址。
, E# z" o- t) H8 V
. a* r2 a, s4 j6 h! F, L; ]  q7 [2019 年 Upbit 事件之后,2020 年韩国正式实施《特定金融信息法》(特金法),要求所有交易平台取得 ISMS(信息安全管理体系)认证并在银行开设实名账户。大量无法达标的小型交易平台被迫退出市场,行业格局从「百所混战」收缩为少数几家巨头主导。Upbit 凭借 Kakao 系的资源背书和认证的通过,市场份额一度超过 80%。: w% g* i0 ]+ M6 L5 o

% V  o1 @" n& {; |) W3 c但六年的合规建设,并没有让 Upbit 逃过这一劫。- a& W$ A% L$ j! v$ r
. x: |  J( f+ F" g
截至发稿,Upbit 已宣布将用自有资产全额赔付用户损失,但关于攻击者身份和具体攻击路径,官方尚未公布详细信息。
) l1 ]7 ?$ k- i! a* D
( U- c! m6 N( [. v' o* h% J泡菜溢价 、国家级黑客与核武器/ j1 f9 K5 f, X7 f
韩国交易平台频频被盗并非单纯的技术无能,而是地缘ZZ的悲剧投影。) k7 R/ e7 `' L0 k
$ `" w" s* C) J' G2 |2 Y* @
在一个高度中心化、流动性溢价极高且地理位置特殊的市场,韩国交易平台实际上是在用一家商业公司的安防预算,去对抗一个拥有核威慑诉求的国家级黑客部队。
: ~7 z% M9 B4 t4 i3 M3 }
& }6 T% _4 {( u; U这支部队有个名字:Lazarus Group
% u3 f2 E8 j" z% K. ~
$ b  z0 P4 w- E% O% \% L$ XLazarus 隶属于朝鲜侦察总局(RGB),是平壤最精锐的网络战力量之一。- E- l4 Z' t; O/ g% f/ r& g
- u/ F" Q- L& z- r1 r/ v6 C" P
在转向加密货币之前,他们已经在传统金融领域证明了自己的实力。% {; ?8 f4 y, A$ i; |% o+ Z% e

0 X' M  d3 ?" c! H/ N* B2014 年攻破索尼影业,2016 年从孟加拉国央行盗走 8100 万美元,2017 年策划了波及 150 个国家的 WannaCry 勒索病毒。
5 b; I  k4 M+ }, l( h
4 B) Q2 j2 R. h2017 年起,Lazarus 将目标转向加密货币领域。原因很简单:
/ b; t- V2 |9 V6 U; I
* X% [. u7 ^* v7 ^  k7 W相比传统银行,加密货币交易平台监管更松、安全标准参差不齐,而且一旦得手,资金可以通过链上转移迅速跨境,绕开国际制裁体系。( U: a3 d9 B/ e. [; X4 \8 A+ X( H

& s( Z  n0 @, j+ ^  H0 J( Y而韩国,恰好是最理想的猎场。
  Y; U7 H4 p& l& H0 a$ ?" A8 V
第一,韩国是地缘对抗的天然目标。对朝鲜而言,攻击韩国企业不仅能获取资金,还能在「敌国」制造混乱,一举两得。
, V7 c& `, E% [5 ]: M/ E
% g4 H* m, M2 I# m- t! W第二,泡菜溢价背后是肥美的资金池。韩国散户对加密货币的狂热举世闻名,而溢价的本质是供不应求,大量韩元涌入,追逐有限的加密资产。
) r4 z1 _$ h0 O: H7 z8 M3 p; }, c  X" w7 k
这意味着韩国交易平台的热钱包里,长期躺着远超其他市场的流动性。对黑客来说,这就是一座金矿。
4 V; h" F( a0 n$ x2 W- k5 w3 ?( G* @0 D
第三,语言有优势。Lazarus 的攻击并非只靠技术暴力破解。他们擅长社会工程学,比如伪造招聘信息、发送钓鱼邮件、冒充客服套取验证码。" c& ^: W2 y6 Q- o3 M/ T  R

6 _5 \( s, p8 E5 v) b6 Z0 r朝韩同文同种,语言障碍为零,这让针对韩国员工和用户的定向钓鱼攻击成功率大幅提升。
' k- h, \! }- |
4 ]1 e! b5 h$ {  U' k+ z( P: B被盗的钱去哪了?这可能才是故事最有看点的部分。, y1 S! V& s+ R

* T3 ~+ X* R, _, [根据联合国报告和多家区块链分析公司的追踪,Lazarus 窃取的加密货币最终流向了朝鲜的核武器和弹道导弹计划
+ Y; C: G+ v" Y; z- h! {5 a0 H; [$ `. z4 o
此前,路透社援引一份联合国机密报告称,朝鲜使用被盗的加密货币资金来帮助资助其导弹开发计划。
/ [6 }8 @" Y/ L$ ^! h- E  F
  p  I; w) z7 u! q2023 年 5 月,白宫副国家安全顾问 Anne Neuberger 公开表示,朝鲜导弹计划约 50% 的资金来自网络攻击和加密货币盗窃;这一比例相比她 2022 年 7 月给出的「约三分之一」进一步上升。
! K! x4 m% M9 B6 |5 B6 d3 m0 q" c0 ]5 H  w0 d" q7 d* V
换句话说,每一次韩国交易平台被盗,都可能在间接为三八线对面的核弹头添砖加瓦。
, O9 ~; v* T8 K) b+ n0 V5 v% }1 N$ n( ~, u- f8 w
同时,洗钱路径已经相当成熟:被盗资产先通过「剥离链」技术拆分成无数小额交易,再经由混币器(如 Tornado Cash、Sinbad)混淆来源,然后通过朝鲜自建的交易平台以折扣价兑换成比特币,最后通过中俄的地下渠道兑换成法币。
! \. c* f2 h: W" z$ q* e* O" Q2 Z+ T3 h$ d' D+ o( i! L' r
2019 年 Upbit 被盗的 34.2 万枚 ETH,韩国警方正式公布调查结果显示: 57% 在疑似朝鲜运营的三家交易平台以低于市场价 2.5% 的价格兑换成比特币,剩余 43% 通过 13 个国家的 51 家交易平台洗白。整个过程历时数年,至今绝大部分资金仍未追回。
3 D! N8 m# E% Q# h, \! X/ P5 f5 w4 j% x  {/ R0 T% I+ }
这或许是韩国交易平台面临的根本困境:& l6 b: k- N4 F0 d2 Z

. v. x" {( D& f# n/ x  `) A2 O一边是 Lazarus,一支拥有国家资源支持、可以 24 小时轮班作业、不计成本投入的黑客部队;另一边是 Upbit、Bithumb 这样的商业公司。9 k& w' X3 D) |5 z/ x
" R" t9 l/ b4 c+ W" x
即便是通过审查的头部交易平台,在面对国家级高持续性威胁攻击时,依然力不从心。' X1 Q- C6 }; N: b+ z
- Z  ~8 p- C$ ~1 F2 }
不只是韩国的问题" s7 G) o7 a8 ~0 c3 P) x: V* l
八年、十余起攻击、约 2 亿美元损失,如果只把这当作韩国加密行业的本地新闻,就错过了更大的图景。6 ^& s! b; |2 {+ [+ W# g
8 i$ `6 @2 c. j  {2 y
韩国交易平台的遭遇,是加密行业与国家级对手博弈的预演。7 [+ t" |' M0 A. ^1 n
9 y+ d0 o  O4 r1 i
朝鲜是最显眼的玩家,但不是唯一的玩家。俄罗斯某些高威胁攻击组织被指与多起 DeFi 攻击存在关联,伊朗黑客曾针对以色列加密公司发动攻击,朝鲜自己也早已把战场从韩国扩展到全球,比如 2025 年 Bybit 的 15 亿美元、2022 年 Ronin 的 6.25 亿美元,受害者遍布各大洲。. S+ p: y$ U4 k5 \" j. g- ^# K

6 y# b& B. [. W# _# H
2 M- m( Z, X8 T( n) y% _+ U' D加密行业有一个结构性矛盾,即一切必须经过中心化的入口。
) f( q2 f5 O$ b' {! o/ R3 S4 ?; q  P, j6 r6 m
无论链本身多么安全,用户的资产终究要通过交易平台、跨链桥、热钱包这些「咽喉要道」流动。; w7 Z' o! e" s: m! {3 i

3 [8 ]  y( Y. J: v5 D- x2 E+ ^这些节点集中了海量资金,却由预算有限的商业公司运营;对国家级黑客而言,这是效率极高的狩猎场
* F, {5 V7 |9 ?1 _, e/ n: c
0 s. p& \$ |4 G7 W/ d" W& n& J/ L攻防双方的资源从根本上不对等,Lazarus 可以失败一百次,交易平台只能失败一次。5 A8 W( k1 G; F: `( e

' C7 }& e. ~. I( f$ ?, E, _1 X/ x' ^泡菜溢价还会继续吸引全球套利者和本土散户,Lazarus 不会因为被bao光而停手,韩国交易平台与国家级黑客的攻防战远未结束。9 c) Z2 L2 g9 r6 n: c- r* j
5 V4 T; N+ v# a! n: \2 O6 W
只是希望下一次被盗的,不是你自己的钱。3 L8 M5 v2 j* ^6 _3 o
; K& q, B% V( i. d% ]

/ r! |8 f2 k! M4 R
* D" x, G, Q) x& W5 g# e2 a8 E' [& B9 D. E9 R% Q' Z
% G: @" l# X9 z# p
; B+ c9 [5 {/ [: H# @) C5 ^
/ i+ _+ J  s! ]3 M4 @" H6 J1 x! |
作者: 22301    时间: 2025-11-28 07:49
这个被盗了也是很无奈的事情了。
作者: 赚钱小样    时间: 2025-11-28 10:44
这个核心方面也是很重要的啦。
作者: whywhy    时间: 2025-11-28 14:46
又是盗币事件,Upbit 运气真糟糕,540 亿韩元不是小数目啊
作者: rainwang    时间: 2025-11-28 15:25
如此特别的结果,看来真的是有意思了
作者: 垂钓园    时间: 2025-11-28 18:37
这操作太狠了,连SPL代币都不放过,Upbit真是躺枪啊
作者: 爱美的女人    时间: 2025-11-28 21:08
再次被盗也是没有太安全了
作者: 右耳    时间: 2025-11-29 12:59
Upbit这平台真够背,又双叒叕被盯上了,这回损失也太大了
作者: 舞出精彩    时间: 2025-11-29 14:19
那是要在看是什么样的先吧
作者: 小作文    时间: 2025-11-30 13:34
六年前就中过招,Upbit这风控是真让人心累,大额提现还是冷钱包靠谱点
作者: g9527    时间: 2025-12-1 21:42
又是Upbit被盗,这安全漏洞也太吓人了
作者: 德罗星    时间: 2025-12-3 18:28
很是非常的转载的情况的啊。
作者: 叫我十三    时间: 2025-12-5 07:22
这波 Upbit 真是魔咒了,又到这天就出事,安全还能信吗
作者: whywhy    时间: 2025-12-8 13:36
又被盗了,Upbit 这次损失惨重啊,教训总结要及时,防范措施也得加强
作者: g9527    时间: 2025-12-10 17:58
这Upbit咋又给掏空了,六年了还是不长记性啊
作者: g9527    时间: 2025-12-16 19:13
这Upbit咋又双叒叕被一锅端了,六年了还没长记性啊
作者: g9527    时间: 2025-12-19 20:56
这Upbit六年了咋还这么不长记性,热钱包跟自家后院似的
作者: 右耳    时间: 2025-12-26 19:11
哎,又见老平台出事,真是让人心里拔凉拔凉的
作者: 叫我十三    时间: 2026-1-6 00:30
哎,这Upbit也是没谁了,隔几年就被盯上一次,这链上战场真不是闹着玩的
作者: g9527    时间: 2026-1-13 19:29
这Upbit咋又中招了,热钱包跟不设防似的
作者: 右耳    时间: 2026-1-16 17:56
这操作跟割韭菜似的,平台不牢靠,钱包比命还金贵
作者: g9527    时间: 2026-1-17 18:42
这Upbit六年了还不长记性,热钱包跟公共厕所似的谁都能进



欢迎光临 优惠论坛 (https://tcelue.co/) Powered by Discuz! X3.1