优惠论坛

标题: 六年后同一天再次被盗:Upbit成韩朝「链上战场」核心(转) [打印本页]
作者: caoch    时间: 2025-11-28 00:19
标题: 六年后同一天再次被盗:Upbit成韩朝「链上战场」核心(转)
市场反弹了,但交易平台又被盗了。' E2 L7 u& L3 U+ \. @3 M2 Y: ]% Q
8 I4 K" l6 `8 q$ P+ X7 a; i
11 月 27 日,韩国最大的加密货币交易平台 Upbit 确认发生安全漏洞,导致价值约 540 亿韩元(约 3680 万美元)的资产流失。; K- V, d1 E* o) }; A8 c5 x$ ]

- z' i6 {/ ]1 d9 h首尔时间 11 月 27 日凌晨 04:42(KST),当大多数韩国交易员还在沉睡时,Upbit 的 Solana 热钱包地址出现了异常的大规模资金流出。  m6 j  y8 q8 l6 N  ?7 c' a

6 B5 C0 c: I* @0 \" D6 _据慢雾等安全机构的链上监测数据,攻击者并未采取单一资产转移的方式,而是对 Upbit 在 Solana 链上的资产进行了「清空式」掠夺。
9 a! O& }7 f) m9 A
) V  F2 _0 d4 m# P, \被盗资产不仅包含核心代币 SOL 和稳定币 USDC,还覆盖了 Solana 生态内几乎所有主流的 SPL 标准代币。) `  J/ u2 i' V1 ~) x( k
5 @* I- K' X: b1 F; Q6 Z

  t3 _! W( K4 j/ s1 t9 M被盗资产清单(部分):9 x7 ?' I5 f# Y0 A" H% V4 }
/ J: f+ Z' J6 i6 V, E8 g# u$ j
· DeFi/基础设施类:JUP (Jupiter), RAY (Raydium), PYTH (Pyth Network), JTO (Jito), RENDER, IO 等。
* }1 C2 Z3 }- {9 k% y9 o! Z1 c
' |2 \- n2 ?* q# [9 {, ~0 o/ I· Meme/社区类:BONK, WIF, MOODENG, PENGU, MEW, TRUMP 等。
9 A' `8 M7 d  Y# R! ~9 k, O- [' H/ Y, t6 @& N: d
· 其他项目:ACS, DRIFT, ZETA, SONIC 等。
, Z1 C  |. H& P1 \/ p9 I* \' r
" [! w1 H4 x+ `. u6 [这种一锅端的特征表明,攻击者极有可能获取了 Upbit 负责 Solana 生态热钱包的私钥权限,或者是签名服务器(Signing Server)遭到了直接控制,导致其能够对该钱包下的所有 SPL 代币进行授权转移。
1 {, E! F( H% g1 t
  k+ b8 l1 D, O! c  q对于 Upbit 这家占据韩国 80% 市场份额、以拥有韩国互联网振兴院(KISA)最高安全等级认证为傲的巨头来说,这无疑是一次惨痛的「破防」。/ o, V/ b' t/ t* k( p5 \. o- ~' G

1 p# E7 ~7 d' e2 ~不过,这也不是韩国交易平台第一次被盗了。( K$ o- v1 x/ ]) H
2 U7 w/ E7 B5 D, t' D8 q3 ~
如果将时间轴拉长,我们会发现韩国加密市场在过去八年里,实际上一直在被黑客,尤其是朝鲜黑客光顾。/ n8 l" e* E- D5 s, ]
+ [% u- w# Y% M3 A* v+ z; I
韩国加密市场,不仅是全球最疯狂的散户赌场,也是北朝鲜黑客最顺手的「提款机」。9 W4 P, ?9 y8 n# ^. D& W5 h* e

& f4 b  i% ~% i8 o' Z八年朝韩攻防,被盗编年史& C. I6 R; N# L. D* S5 I
从早期的暴力破解到后来的社会工程学渗透,攻击手段不断进化,韩国交易平台的受难史也随之延长。( n0 l/ K# D0 `

1 ?; G0 {. [! e  r2 i累计损失:约 2 亿美元(按被盗时价格;若按当前价格计算超过 12 亿美元,其中仅 2019 年 Upbit 被盗的 34.2 万枚 ETH 现值已超 10 亿美元)5 c) ~3 _+ g3 a- f( ?
  {! J' h4 E9 v# f+ I
· 2017:蛮荒时代,黑客从员工电脑下手
, {: ~4 }1 A7 f* ~8 v2017 年是加密牛市的起点,也是韩国交易平台噩梦的开始。
  r" e/ ]8 d1 n' |1 z
# v) T  F+ e4 j3 I这一年,韩国最大的交易平台 Bithumb 率先「中招」。6 月,黑客入侵了一名 Bithumb 员工的个人电脑,窃取了约 31,000 名用户的个人信息,随后利用这些数据对用户发起定向钓鱼攻击,卷走约 3200 万美元。事后调查发现,员工电脑上存储着未加密的客户数据,公司甚至没有安装基本的安全更新软件。' K5 d4 F" C8 F  s8 H

4 F7 G( e& ?3 w! _' `这暴露了当时韩国交易平台安全管理的草台状态,连「不要在私人电脑存客户数据」这种常识都没有建立。, J8 }) K' H. X5 m6 l6 C9 L: P
1 g3 _+ ^  M0 \, A4 q# u  p. i3 t
更具标志性意义的是中型交易平台 Youbit 的覆灭。这家交易平台在一年内遭受了两次毁灭性打击:4 月份丢失近 4000 枚比特币(约 500 万美元),12 月再次被盗走 17% 的资产。不堪重负的 Youbit 宣布破产,用户只能先提取 75% 的余额,剩余部分需等待漫长的破产清算。# `2 g* Y0 n) W/ p' V/ w; j

5 F; f( E' z0 l: a+ {( y- KYoubit 事件后,韩国互联网安全局(KISA)首次公开指控朝鲜是幕后黑手。这也向市场发出了一个信号:
3 X' b0 u% M# X/ N- d9 z3 I2 ?6 c  a% B# `' ?, n" G% z% ]: ?
交易平台面对的不再是普通网络窃贼,而是有着地缘ZZ目的的国家级黑客组织。
8 T  k) {5 Z1 c( ]' M/ m
0 E6 A) _) @$ c· 2018:热钱包大劫案. u! b# c4 Y' j* p$ H
2018 年 6 月,韩国市场经历了连续重创。" c$ t& {9 |, B  |0 r$ O. |
* }  ~! k0 q5 X. R7 D
6 月 10 日,中型交易平台 Coinrail 遭遇袭击,损失超过 4000 万美元。与此前不同,这次黑客主要掠夺的是当时火热的 ICO 代币(如 Pundi X 的 NPXS),而非比特币或以太坊。消息传出后,比特币价格短时暴跌超过 10%,整个加密市场在两天内蒸发超过 400 亿美元市值。
8 {$ J* X- }7 ?' ?  G
- k6 a) E3 x/ I( i. [) |$ M4 L仅仅十天后,韩国头部交易平台 Bithumb 也宣告失守,热钱包被盗走约 3100 万美元的 XRP 等代币。讽刺的是,攻击发生前几天,Bithumb 刚在推特上宣布正在「将资产转移至冷钱包以升级安全系统」。
# F! Y5 c; M! X+ U7 d
8 @" _2 t6 M- D' d3 c' K这是 Bithumb 一年半内第三次被黑客「光顾」。
1 X& x, y0 Y) F, b0 ~8 v7 M* S! q0 z4 |* E
「连环爆雷」严重打击了市场信心。事后,韩国科技部对国内 21 家交易平台进行安全审查,结果显示只有 7 家通过全部 85 项检查,剩余 14 家「随时可能暴露于黑客攻击风险中」,其中 12 家在冷钱包管理方面存在严重漏洞。
% p7 x! M4 T0 F5 T1 @$ `* w, v8 I. L$ T6 c; y
· 2019:Upbit 的 342,000 枚 ETH 被盗2 T& i* C) I) V
2019 年 11 月 27 日,韩国最大交易平台 Upbit 遭遇了当时国内史上最大规模的单笔盗窃。
) O  h! |3 ^% x' v
7 N. o3 s; o6 Z% Y, W) W* v, ^8 m0 k; |黑客利用交易平台整理钱包的间隙,单笔转走了 342,000 枚 ETH。他们没有立即砸盘,而是通过「剥离链」(Peel Chain)技术,将资金拆解成无数笔小额交易,层层转移,最终流入数十家非 KYC 交易平台和混币器。$ Z# r7 ?9 ]0 f0 [/ [

2 h! y' V- k9 H4 G2 g" u+ Q$ k调查显示,57% 的被盗 ETH 以低于市场价 2.5% 的折扣在疑似朝鲜运营的交易平台兑换成比特币,剩余 43% 通过 13 个国家的 51 家交易平台洗白。0 ]! {, v6 d0 _$ t

5 E% {; v! N4 W: s8 q直到五年后的 2024 年 11 月,韩国警方才正式确认该案系朝鲜黑客组织 Lazarus Group 和 Andariel 所为。调查人员通过 IP 追踪、资金流向分析,以及攻击代码中出现的朝鲜特有词汇「흘한 일」(意为「不重要」)锁定了攻击者身份。3 p: C6 I" Z! N) Z5 X4 D5 C

& y- p3 b5 B) _$ C韩国当局与美国 FBI 合作追踪资产,历经四年司法程序,最终从瑞士一家交易平台追回 4.8 枚比特币(约 6 亿韩元),并于 2024 年 10 月归还 Upbit。
8 U" w8 v7 u  t. ^
  a6 m- ~5 @+ t5 _8 U- v. n不过相比被盗总额,这点追回几乎可以忽略不计。
$ O* x5 h. M+ x$ l  ~2 ?$ O" o/ _8 \" C3 L3 w- O% ~! O
· 2023:GDAC 事件) h& s6 n! U% c8 A1 J
2023 年 4 月 9 日,中型交易平台 GDAC 遭遇攻击,损失约 1300 万美元——占其托管总资产的 23%。
5 x4 w$ P! z$ [
" W* ?5 P. _2 }8 M被盗资产包括约 61 枚 BTC、350 枚 ETH、1000 万枚 WEMIX 代币和 22 万 USDT。黑客控制了 GDAC 的热钱包,并迅速将部分资金通过 Tornado Cash 混币器洗白。
$ k: u* C8 e1 Z# Q
6 [" s/ y2 L& L· 2025:六年后的同一天,Upbit 再次沦陷* y  w1 y; {. B. L% |6 M
六年前的同一天(11 月 27 日),Upbit 曾损失 342,000 枚 ETH。
4 B8 c& i% X8 `, I' Z. `7 V( s
+ P  `! k: R- P0 s历史再次重演。凌晨 4:42,Upbit 的 Solana 热钱包出现异常资金流出,约 540 亿韩元(3680 万美元)的资产被转移至未知地址。) Y% |6 I6 P: w) A* Q9 P

; K6 ~( A" Q0 j( O$ i2019 年 Upbit 事件之后,2020 年韩国正式实施《特定金融信息法》(特金法),要求所有交易平台取得 ISMS(信息安全管理体系)认证并在银行开设实名账户。大量无法达标的小型交易平台被迫退出市场,行业格局从「百所混战」收缩为少数几家巨头主导。Upbit 凭借 Kakao 系的资源背书和认证的通过,市场份额一度超过 80%。( u& a) y" D$ S& y. G
% L2 o! n, d  s0 h1 X# a+ @
但六年的合规建设,并没有让 Upbit 逃过这一劫。
! |" C9 c1 n+ T7 j6 W: x1 A! E3 L1 ^  I; s* J6 x  o$ I
截至发稿,Upbit 已宣布将用自有资产全额赔付用户损失,但关于攻击者身份和具体攻击路径,官方尚未公布详细信息。4 k0 ~# L6 z& k3 z

% y# P" G* m& q6 m1 M泡菜溢价 、国家级黑客与核武器; @9 S9 ]  V# p4 g5 h( @! O
韩国交易平台频频被盗并非单纯的技术无能,而是地缘ZZ的悲剧投影。, r" @5 c( p. p# o8 Q) }- ]4 B

4 Z, i( ^: w- T  Y+ k( J- a+ u4 b在一个高度中心化、流动性溢价极高且地理位置特殊的市场,韩国交易平台实际上是在用一家商业公司的安防预算,去对抗一个拥有核威慑诉求的国家级黑客部队。, l' M: ]9 M( k; m

5 ?" @9 T# q$ R这支部队有个名字:Lazarus Group& R" w+ S9 W/ ?2 \
* }" e) r6 \% T8 K. a
Lazarus 隶属于朝鲜侦察总局(RGB),是平壤最精锐的网络战力量之一。2 P/ \5 u. T' ^* P7 S# k' j

+ T$ F. b4 }0 Q0 _5 `' p在转向加密货币之前,他们已经在传统金融领域证明了自己的实力。9 `, n4 C  g- m( d- T' m

0 A) U3 J# p" `! |! m6 C; I* `5 [2014 年攻破索尼影业,2016 年从孟加拉国央行盗走 8100 万美元,2017 年策划了波及 150 个国家的 WannaCry 勒索病毒。: E; b2 l# z; Q7 G4 l" z

6 O/ I2 n5 I: ?2017 年起,Lazarus 将目标转向加密货币领域。原因很简单:/ C) n* W; g* C4 F! _% p( G4 x% `
: t- q6 W1 F, _8 m* H( k
相比传统银行,加密货币交易平台监管更松、安全标准参差不齐,而且一旦得手,资金可以通过链上转移迅速跨境,绕开国际制裁体系。8 S4 U! ?6 R) Q6 f0 |/ {

- {; {; G* m, _' o, {  x1 k而韩国,恰好是最理想的猎场。, ~8 }% ]! V, l- o

3 y5 N) `2 d% r第一,韩国是地缘对抗的天然目标。对朝鲜而言,攻击韩国企业不仅能获取资金,还能在「敌国」制造混乱,一举两得。
9 f# D) [, F! h: A- d
: S$ i  r$ ^2 P7 y$ ~  e5 g; N第二,泡菜溢价背后是肥美的资金池。韩国散户对加密货币的狂热举世闻名,而溢价的本质是供不应求,大量韩元涌入,追逐有限的加密资产。
' E! U( C) A3 t( \' ?$ F" Y" z7 L  r, P& W( U% e
这意味着韩国交易平台的热钱包里,长期躺着远超其他市场的流动性。对黑客来说,这就是一座金矿。
; J7 b4 x- j. ~2 j- h) O( b
+ G0 n( }( e% x& `; h; [2 o' X" C( ]+ ^) V第三,语言有优势。Lazarus 的攻击并非只靠技术暴力破解。他们擅长社会工程学,比如伪造招聘信息、发送钓鱼邮件、冒充客服套取验证码。" X* G( ~# c+ i5 `6 ]7 l& I

- A6 a1 k* x. R/ e- k) E朝韩同文同种,语言障碍为零,这让针对韩国员工和用户的定向钓鱼攻击成功率大幅提升。
9 v7 o  C# Z$ l% ^, g4 w8 W' p  _+ o( l1 T! R/ z) G9 j
被盗的钱去哪了?这可能才是故事最有看点的部分。
1 \. ^% w4 {% f( U: U$ r: p: H; U( i4 d$ r
根据联合国报告和多家区块链分析公司的追踪,Lazarus 窃取的加密货币最终流向了朝鲜的核武器和弹道导弹计划0 m  a4 O% j/ x: c, B  R

) w4 \: l/ j7 ~. Z" i3 L此前,路透社援引一份联合国机密报告称,朝鲜使用被盗的加密货币资金来帮助资助其导弹开发计划。+ B: z3 t, K, F) k- F. F0 j* O7 v

3 Z9 x: h4 `7 x0 h2023 年 5 月,白宫副国家安全顾问 Anne Neuberger 公开表示,朝鲜导弹计划约 50% 的资金来自网络攻击和加密货币盗窃;这一比例相比她 2022 年 7 月给出的「约三分之一」进一步上升。
5 |8 ^" y* E: z% k% U, h# s' x+ R3 X
换句话说,每一次韩国交易平台被盗,都可能在间接为三八线对面的核弹头添砖加瓦。
6 G- v# h: Q6 ~+ I
' c4 u0 v! y  v- Q1 L: f7 ]同时,洗钱路径已经相当成熟:被盗资产先通过「剥离链」技术拆分成无数小额交易,再经由混币器(如 Tornado Cash、Sinbad)混淆来源,然后通过朝鲜自建的交易平台以折扣价兑换成比特币,最后通过中俄的地下渠道兑换成法币。& h$ C* k" N% ~' Y- a0 \
( }* ~* {0 t2 c7 R/ N
2019 年 Upbit 被盗的 34.2 万枚 ETH,韩国警方正式公布调查结果显示: 57% 在疑似朝鲜运营的三家交易平台以低于市场价 2.5% 的价格兑换成比特币,剩余 43% 通过 13 个国家的 51 家交易平台洗白。整个过程历时数年,至今绝大部分资金仍未追回。4 ^, D3 J: o" O0 {& Y( O& A

( @' ^& m# V0 {/ T8 X9 t4 g这或许是韩国交易平台面临的根本困境:
  _5 o% u4 ^8 Q: H: {& f: C, e5 o/ ~8 y- \2 X+ i7 A) w" P
一边是 Lazarus,一支拥有国家资源支持、可以 24 小时轮班作业、不计成本投入的黑客部队;另一边是 Upbit、Bithumb 这样的商业公司。+ C) j  G1 {8 B- v

3 F1 [; U. ]# M即便是通过审查的头部交易平台,在面对国家级高持续性威胁攻击时,依然力不从心。
& y& c* @- ?' I: r, i+ n. L, C: J) j9 G) A% _
不只是韩国的问题6 V0 g# X9 c, F- Q. @
八年、十余起攻击、约 2 亿美元损失,如果只把这当作韩国加密行业的本地新闻,就错过了更大的图景。
: S! c. \* G" a& Z% t/ k. o- Y4 t" K- w- C% V- A
韩国交易平台的遭遇,是加密行业与国家级对手博弈的预演。
) a+ D- m2 f+ D" A+ q/ X# B. z  Y2 ]3 z+ ~0 z; D
朝鲜是最显眼的玩家,但不是唯一的玩家。俄罗斯某些高威胁攻击组织被指与多起 DeFi 攻击存在关联,伊朗黑客曾针对以色列加密公司发动攻击,朝鲜自己也早已把战场从韩国扩展到全球,比如 2025 年 Bybit 的 15 亿美元、2022 年 Ronin 的 6.25 亿美元,受害者遍布各大洲。
# C. D( B# T) m, @/ R3 [% Q8 h: q5 d8 A$ y; O& K3 @; }2 U

% p3 H9 @5 s0 D( I& r加密行业有一个结构性矛盾,即一切必须经过中心化的入口。
$ ]9 V3 G. E7 Z5 K
6 p2 v* q$ |$ D+ U无论链本身多么安全,用户的资产终究要通过交易平台、跨链桥、热钱包这些「咽喉要道」流动。
( C3 \) M2 f  z! v
2 ]% Y+ A1 ?9 V, P6 h- |4 R7 Z这些节点集中了海量资金,却由预算有限的商业公司运营;对国家级黑客而言,这是效率极高的狩猎场
6 h8 h2 {6 n7 F' n4 j. R% _  z9 z: K4 ]% }
攻防双方的资源从根本上不对等,Lazarus 可以失败一百次,交易平台只能失败一次。
% x$ n8 F9 I% e  c1 @* K! I
' \+ |  Y. i( i1 m泡菜溢价还会继续吸引全球套利者和本土散户,Lazarus 不会因为被bao光而停手,韩国交易平台与国家级黑客的攻防战远未结束。
% E/ G1 w+ J& Z6 }% [: ^/ ~+ A3 Q- P% _
只是希望下一次被盗的,不是你自己的钱。  ], }! t; B! D' {
5 ?& b, d5 `$ i! t. B- H: y

) k% H; R% U8 N) ^0 q7 q
6 ]( P1 v1 [" X
; q0 v  B. v$ ^. Z6 M1 N2 y4 s9 d) F) F) U7 F
6 z! G8 B. a( M& V. n& w

- q  i2 t" P* Q5 a; H% b
作者: 22301    时间: 2025-11-28 07:49
这个被盗了也是很无奈的事情了。
作者: 赚钱小样    时间: 2025-11-28 10:44
这个核心方面也是很重要的啦。
作者: whywhy    时间: 2025-11-28 14:46
又是盗币事件,Upbit 运气真糟糕,540 亿韩元不是小数目啊
作者: rainwang    时间: 2025-11-28 15:25
如此特别的结果,看来真的是有意思了
作者: 垂钓园    时间: 2025-11-28 18:37
这操作太狠了,连SPL代币都不放过,Upbit真是躺枪啊
作者: 爱美的女人    时间: 2025-11-28 21:08
再次被盗也是没有太安全了
作者: 右耳    时间: 2025-11-29 12:59
Upbit这平台真够背,又双叒叕被盯上了,这回损失也太大了
作者: 舞出精彩    时间: 2025-11-29 14:19
那是要在看是什么样的先吧
作者: 小作文    时间: 2025-11-30 13:34
六年前就中过招,Upbit这风控是真让人心累,大额提现还是冷钱包靠谱点
作者: g9527    时间: 2025-12-1 21:42
又是Upbit被盗,这安全漏洞也太吓人了
作者: 德罗星    时间: 2025-12-3 18:28
很是非常的转载的情况的啊。
作者: 叫我十三    时间: 2025-12-5 07:22
这波 Upbit 真是魔咒了,又到这天就出事,安全还能信吗
作者: whywhy    时间: 2025-12-8 13:36
又被盗了,Upbit 这次损失惨重啊,教训总结要及时,防范措施也得加强
作者: g9527    时间: 2025-12-10 17:58
这Upbit咋又给掏空了,六年了还是不长记性啊
作者: g9527    时间: 2025-12-16 19:13
这Upbit咋又双叒叕被一锅端了,六年了还没长记性啊
作者: g9527    时间: 2025-12-19 20:56
这Upbit六年了咋还这么不长记性,热钱包跟自家后院似的
作者: 右耳    时间: 2025-12-26 19:11
哎,又见老平台出事,真是让人心里拔凉拔凉的
作者: 叫我十三    时间: 2026-1-6 00:30
哎,这Upbit也是没谁了,隔几年就被盯上一次,这链上战场真不是闹着玩的
作者: g9527    时间: 2026-1-13 19:29
这Upbit咋又中招了,热钱包跟不设防似的
作者: 右耳    时间: 2026-1-16 17:56
这操作跟割韭菜似的,平台不牢靠,钱包比命还金贵
作者: g9527    时间: 2026-1-17 18:42
这Upbit六年了还不长记性,热钱包跟公共厕所似的谁都能进



欢迎光临 优惠论坛 (https://tcelue.co/) Powered by Discuz! X3.1