优惠论坛

标题: 六年后同一天再次被盗:Upbit成韩朝「链上战场」核心(转) [打印本页]
作者: caoch    时间: 2025-11-28 00:19
标题: 六年后同一天再次被盗:Upbit成韩朝「链上战场」核心(转)
市场反弹了,但交易平台又被盗了。
4 H7 z4 T0 K, @1 T/ o8 N% d8 N& R/ D9 E+ A" M# U0 B
11 月 27 日,韩国最大的加密货币交易平台 Upbit 确认发生安全漏洞,导致价值约 540 亿韩元(约 3680 万美元)的资产流失。' q# e$ d3 [' j' K# r0 y

  I5 M; V6 O+ X4 F- b2 j! ]首尔时间 11 月 27 日凌晨 04:42(KST),当大多数韩国交易员还在沉睡时,Upbit 的 Solana 热钱包地址出现了异常的大规模资金流出。' [$ a6 {9 O8 P/ p& v$ o
9 }& B" r- i- D- a# l1 H
据慢雾等安全机构的链上监测数据,攻击者并未采取单一资产转移的方式,而是对 Upbit 在 Solana 链上的资产进行了「清空式」掠夺。& f; `( H4 b; e- z+ f0 M% M
+ |( u$ ]3 p  X6 d/ n
被盗资产不仅包含核心代币 SOL 和稳定币 USDC,还覆盖了 Solana 生态内几乎所有主流的 SPL 标准代币。6 _# W! o- N" _6 Z  i% i

( s5 j2 T# l) }% z& @) n6 h4 k) F9 D0 c4 e$ \- C) E! c: E
被盗资产清单(部分):! K5 B) f) n* h! U* g. @6 f; [

( ]4 w% d6 U6 j( I· DeFi/基础设施类:JUP (Jupiter), RAY (Raydium), PYTH (Pyth Network), JTO (Jito), RENDER, IO 等。$ y$ r- \* Q. i+ p" O

2 \  N! B0 A7 E$ D· Meme/社区类:BONK, WIF, MOODENG, PENGU, MEW, TRUMP 等。
) x8 m8 z1 V& o9 ~5 M0 ~/ ~: c8 }
· 其他项目:ACS, DRIFT, ZETA, SONIC 等。
/ S$ S5 ]+ w( r. z1 \/ n$ v4 A: S! V" H6 a5 x/ D3 Y
这种一锅端的特征表明,攻击者极有可能获取了 Upbit 负责 Solana 生态热钱包的私钥权限,或者是签名服务器(Signing Server)遭到了直接控制,导致其能够对该钱包下的所有 SPL 代币进行授权转移。
. [! M. i) D% M, i% V
  A4 x/ t1 ]9 k8 `- m) @. Z对于 Upbit 这家占据韩国 80% 市场份额、以拥有韩国互联网振兴院(KISA)最高安全等级认证为傲的巨头来说,这无疑是一次惨痛的「破防」。9 i4 a/ \1 Y. x+ s$ c/ b

# t6 `; |; y6 U: r9 @不过,这也不是韩国交易平台第一次被盗了。6 b5 @1 l& J+ i; P

2 J, R; K" s7 Z/ G" D4 C如果将时间轴拉长,我们会发现韩国加密市场在过去八年里,实际上一直在被黑客,尤其是朝鲜黑客光顾。
9 w9 [" I$ v4 N! r5 g6 H/ E, [1 e  w& E+ D" ~$ B
韩国加密市场,不仅是全球最疯狂的散户赌场,也是北朝鲜黑客最顺手的「提款机」。
1 c- Z% P! i) t8 v" ]
# o* a7 B8 `+ m/ e3 S: _# \! q八年朝韩攻防,被盗编年史
( Y! [8 S$ Z+ x, y0 B% @6 s从早期的暴力破解到后来的社会工程学渗透,攻击手段不断进化,韩国交易平台的受难史也随之延长。( S* f+ _. p" M1 [
: K& Q' @1 z+ t1 O4 M' r
累计损失:约 2 亿美元(按被盗时价格;若按当前价格计算超过 12 亿美元,其中仅 2019 年 Upbit 被盗的 34.2 万枚 ETH 现值已超 10 亿美元)
2 E+ J  V, p) [% _
+ Q4 ?* _- r& u& M4 {· 2017:蛮荒时代,黑客从员工电脑下手: R- y( v& `! m; c
2017 年是加密牛市的起点,也是韩国交易平台噩梦的开始。
) T: {: _, f0 G% H2 D/ P: r5 Y
8 A. k) Z9 s- B$ H+ E这一年,韩国最大的交易平台 Bithumb 率先「中招」。6 月,黑客入侵了一名 Bithumb 员工的个人电脑,窃取了约 31,000 名用户的个人信息,随后利用这些数据对用户发起定向钓鱼攻击,卷走约 3200 万美元。事后调查发现,员工电脑上存储着未加密的客户数据,公司甚至没有安装基本的安全更新软件。- n- q8 D) ^) J/ ]4 V
0 G. X; ~* ?. B  K! j
这暴露了当时韩国交易平台安全管理的草台状态,连「不要在私人电脑存客户数据」这种常识都没有建立。8 F2 Z6 r7 i, ^% i

8 }% @7 y! l" v! {更具标志性意义的是中型交易平台 Youbit 的覆灭。这家交易平台在一年内遭受了两次毁灭性打击:4 月份丢失近 4000 枚比特币(约 500 万美元),12 月再次被盗走 17% 的资产。不堪重负的 Youbit 宣布破产,用户只能先提取 75% 的余额,剩余部分需等待漫长的破产清算。
2 e( Z$ r' w) q; Q/ U9 w/ E
: N; k0 U- u9 q# C9 s4 p4 bYoubit 事件后,韩国互联网安全局(KISA)首次公开指控朝鲜是幕后黑手。这也向市场发出了一个信号:
* `$ @$ H5 Y5 g2 x, n* y6 U: K8 |, Z9 u- K& N/ C
交易平台面对的不再是普通网络窃贼,而是有着地缘ZZ目的的国家级黑客组织。3 }7 Y5 _3 d# q; @% J4 v

3 Y6 j- _4 @5 H5 Z· 2018:热钱包大劫案5 ~5 @: @. C4 N9 z9 W
2018 年 6 月,韩国市场经历了连续重创。- q: T2 R! `0 e. H

7 X- t" W% c( `& u! f* \- U# ^: ^6 月 10 日,中型交易平台 Coinrail 遭遇袭击,损失超过 4000 万美元。与此前不同,这次黑客主要掠夺的是当时火热的 ICO 代币(如 Pundi X 的 NPXS),而非比特币或以太坊。消息传出后,比特币价格短时暴跌超过 10%,整个加密市场在两天内蒸发超过 400 亿美元市值。
8 @  t# v4 n" g" H4 S+ X! B
4 r, [' J# W( D7 g! A5 J) x仅仅十天后,韩国头部交易平台 Bithumb 也宣告失守,热钱包被盗走约 3100 万美元的 XRP 等代币。讽刺的是,攻击发生前几天,Bithumb 刚在推特上宣布正在「将资产转移至冷钱包以升级安全系统」。
7 [9 R. t. |+ b
% n( m3 s* B0 @8 S- j这是 Bithumb 一年半内第三次被黑客「光顾」。
9 C9 [. }( @2 z9 _! K3 n4 G- P. e9 [! _
「连环爆雷」严重打击了市场信心。事后,韩国科技部对国内 21 家交易平台进行安全审查,结果显示只有 7 家通过全部 85 项检查,剩余 14 家「随时可能暴露于黑客攻击风险中」,其中 12 家在冷钱包管理方面存在严重漏洞。1 U' G" y' \; M
  h! c6 X) s( l& G& ]
· 2019:Upbit 的 342,000 枚 ETH 被盗; P% t& ~2 x. a; z) J& g1 ?& ^
2019 年 11 月 27 日,韩国最大交易平台 Upbit 遭遇了当时国内史上最大规模的单笔盗窃。1 B% u! ~' h/ a8 B4 [

- G& I" Q8 K" s* h8 g黑客利用交易平台整理钱包的间隙,单笔转走了 342,000 枚 ETH。他们没有立即砸盘,而是通过「剥离链」(Peel Chain)技术,将资金拆解成无数笔小额交易,层层转移,最终流入数十家非 KYC 交易平台和混币器。' g# X5 ^6 _: w4 |3 X& ?$ |7 y. _  P
' d: X6 W( {" a5 g+ @% ?# c8 H
调查显示,57% 的被盗 ETH 以低于市场价 2.5% 的折扣在疑似朝鲜运营的交易平台兑换成比特币,剩余 43% 通过 13 个国家的 51 家交易平台洗白。
$ e: r& x) a: e' D. Q2 u8 W
6 ~% D. N2 W( ?6 r" c  Y直到五年后的 2024 年 11 月,韩国警方才正式确认该案系朝鲜黑客组织 Lazarus Group 和 Andariel 所为。调查人员通过 IP 追踪、资金流向分析,以及攻击代码中出现的朝鲜特有词汇「흘한 일」(意为「不重要」)锁定了攻击者身份。
& b, M& g' l2 t/ u/ l6 S0 j+ z; b& K- O* D5 A1 |. S. T
韩国当局与美国 FBI 合作追踪资产,历经四年司法程序,最终从瑞士一家交易平台追回 4.8 枚比特币(约 6 亿韩元),并于 2024 年 10 月归还 Upbit。4 B9 s% B# x: O9 k4 D" B1 C% Z

5 X: g, D# ^- h2 f1 \不过相比被盗总额,这点追回几乎可以忽略不计。
; T4 U" t' m7 j3 D! D2 n' _
6 }4 `# u4 y6 m3 f$ k, C$ U/ F· 2023:GDAC 事件
- A8 H4 O# h5 x, C; g& _. C2023 年 4 月 9 日,中型交易平台 GDAC 遭遇攻击,损失约 1300 万美元——占其托管总资产的 23%。
& G/ H% U* t" q) p: N/ Y1 H. o' I, r: {, Z1 X$ a  d. ~) d0 y
被盗资产包括约 61 枚 BTC、350 枚 ETH、1000 万枚 WEMIX 代币和 22 万 USDT。黑客控制了 GDAC 的热钱包,并迅速将部分资金通过 Tornado Cash 混币器洗白。! q3 c+ r% x7 I# ?0 O
5 D7 W7 N3 @; y. v
· 2025:六年后的同一天,Upbit 再次沦陷# n5 W; X1 K4 e/ O
六年前的同一天(11 月 27 日),Upbit 曾损失 342,000 枚 ETH。
. J( u8 x  [: V" C/ W2 i0 P2 U: k9 _4 P
历史再次重演。凌晨 4:42,Upbit 的 Solana 热钱包出现异常资金流出,约 540 亿韩元(3680 万美元)的资产被转移至未知地址。
# }0 k' \" k* }4 z$ v- k: \( e! V; C! P: N; n6 L1 ?: k
2019 年 Upbit 事件之后,2020 年韩国正式实施《特定金融信息法》(特金法),要求所有交易平台取得 ISMS(信息安全管理体系)认证并在银行开设实名账户。大量无法达标的小型交易平台被迫退出市场,行业格局从「百所混战」收缩为少数几家巨头主导。Upbit 凭借 Kakao 系的资源背书和认证的通过,市场份额一度超过 80%。/ C8 @1 H& f: `3 A
1 L7 J  {+ P; `! M& V. P+ I
但六年的合规建设,并没有让 Upbit 逃过这一劫。9 Y3 c$ E: I* D5 z/ c
; n# a# w- L7 \1 i. c+ y1 X
截至发稿,Upbit 已宣布将用自有资产全额赔付用户损失,但关于攻击者身份和具体攻击路径,官方尚未公布详细信息。
1 t% P: M: q) A& P5 {
. V' C( O+ V6 J# e8 y泡菜溢价 、国家级黑客与核武器, N3 H+ D' d& o" N
韩国交易平台频频被盗并非单纯的技术无能,而是地缘ZZ的悲剧投影。
; P1 \7 R7 \# C3 T( W/ S* g+ z0 |
9 b* G) P5 H5 p$ J2 |5 K: q9 R在一个高度中心化、流动性溢价极高且地理位置特殊的市场,韩国交易平台实际上是在用一家商业公司的安防预算,去对抗一个拥有核威慑诉求的国家级黑客部队。
& E# q3 @" f6 f. O5 O- M6 O2 Q2 x" q) ?; o; F
这支部队有个名字:Lazarus Group7 @/ C: n/ A6 j

# [6 `9 s0 X, D2 y7 k1 Z; wLazarus 隶属于朝鲜侦察总局(RGB),是平壤最精锐的网络战力量之一。
' `' o+ M1 t9 M7 x+ O* q9 k
5 H4 W5 a3 R" ^' h6 a) q在转向加密货币之前,他们已经在传统金融领域证明了自己的实力。
6 d- `3 w  c! V; X1 J
5 X; @% z$ Z9 _2 x( [. b  L7 a2014 年攻破索尼影业,2016 年从孟加拉国央行盗走 8100 万美元,2017 年策划了波及 150 个国家的 WannaCry 勒索病毒。; ]  O! ]: T8 y" Z
: C) P4 z- h& [; m" n5 E2 `1 d& r
2017 年起,Lazarus 将目标转向加密货币领域。原因很简单:
. z8 N# @2 W8 \7 D2 e8 L, @; t/ t0 z6 \/ n$ ~% I( H; Q
相比传统银行,加密货币交易平台监管更松、安全标准参差不齐,而且一旦得手,资金可以通过链上转移迅速跨境,绕开国际制裁体系。/ }5 I7 t% \9 h5 k* ^, h2 f

, }# k; X( p+ d" w$ q% Y1 n7 b而韩国,恰好是最理想的猎场。
& }$ T0 v% z, Q3 O# g8 z, i8 {8 `/ C1 V9 h4 o8 q1 ^
第一,韩国是地缘对抗的天然目标。对朝鲜而言,攻击韩国企业不仅能获取资金,还能在「敌国」制造混乱,一举两得。
0 @5 s+ M4 Y8 b& w- s' ]& r" }+ Z1 H3 z% t
第二,泡菜溢价背后是肥美的资金池。韩国散户对加密货币的狂热举世闻名,而溢价的本质是供不应求,大量韩元涌入,追逐有限的加密资产。, U0 H  Z; {+ F3 L7 j+ Y
* ^! ^+ ?. r* W* V3 y1 H( n& ?0 v
这意味着韩国交易平台的热钱包里,长期躺着远超其他市场的流动性。对黑客来说,这就是一座金矿。4 J4 `+ U* L2 c
& ]& k/ S, b5 ?. L( u9 u
第三,语言有优势。Lazarus 的攻击并非只靠技术暴力破解。他们擅长社会工程学,比如伪造招聘信息、发送钓鱼邮件、冒充客服套取验证码。
  |$ F* A5 M- X3 l. X- F' ]  a& j, \) s/ t: v8 Z$ ^/ {% B
朝韩同文同种,语言障碍为零,这让针对韩国员工和用户的定向钓鱼攻击成功率大幅提升。( f1 N1 m. |. C

" ]" d- X( r( {% y9 {6 Q6 U/ ?被盗的钱去哪了?这可能才是故事最有看点的部分。
; |: H% i' _* A+ m1 x7 k+ f3 K( x! O3 I
根据联合国报告和多家区块链分析公司的追踪,Lazarus 窃取的加密货币最终流向了朝鲜的核武器和弹道导弹计划( G3 v9 x2 R0 W" R% ^$ ^8 Y

9 N4 t% [$ z& E) I此前,路透社援引一份联合国机密报告称,朝鲜使用被盗的加密货币资金来帮助资助其导弹开发计划。: P- P9 L3 h. C( |) `4 |/ V

7 w/ b5 c6 W! b  T, s$ @( s  n2023 年 5 月,白宫副国家安全顾问 Anne Neuberger 公开表示,朝鲜导弹计划约 50% 的资金来自网络攻击和加密货币盗窃;这一比例相比她 2022 年 7 月给出的「约三分之一」进一步上升。
% D# ?. o4 r- _& d. {$ I* Z# l; w1 J  T  Z/ m/ Z6 c" T" K* h& y9 ]
换句话说,每一次韩国交易平台被盗,都可能在间接为三八线对面的核弹头添砖加瓦。  w( l- L3 \7 k: u6 Y+ o, T7 e* Z* M
0 q* f3 v6 Z4 e2 ]! L
同时,洗钱路径已经相当成熟:被盗资产先通过「剥离链」技术拆分成无数小额交易,再经由混币器(如 Tornado Cash、Sinbad)混淆来源,然后通过朝鲜自建的交易平台以折扣价兑换成比特币,最后通过中俄的地下渠道兑换成法币。
" C- A* s$ }1 I2 C! C, @3 A
0 G) t, K2 T1 X2019 年 Upbit 被盗的 34.2 万枚 ETH,韩国警方正式公布调查结果显示: 57% 在疑似朝鲜运营的三家交易平台以低于市场价 2.5% 的价格兑换成比特币,剩余 43% 通过 13 个国家的 51 家交易平台洗白。整个过程历时数年,至今绝大部分资金仍未追回。
! W0 A, ?0 H! k# q6 {
* }  c# ]7 P  g& o: J: V& R1 W9 a这或许是韩国交易平台面临的根本困境:3 ^4 s: }8 `2 w3 |  E) N

, i, N4 m) o! [. `6 D0 }- R( V一边是 Lazarus,一支拥有国家资源支持、可以 24 小时轮班作业、不计成本投入的黑客部队;另一边是 Upbit、Bithumb 这样的商业公司。4 S, V" h9 J' }8 b+ H
7 J6 _( D: {  d& t9 v1 u
即便是通过审查的头部交易平台,在面对国家级高持续性威胁攻击时,依然力不从心。
7 C0 f$ D+ @4 u# A( A; ~3 T" y+ ]/ L" Z, N
不只是韩国的问题
2 [2 d% C2 L' s" {( G- O% Q) R; s八年、十余起攻击、约 2 亿美元损失,如果只把这当作韩国加密行业的本地新闻,就错过了更大的图景。1 ?% S+ o. ]. d

3 s  V5 r. `+ E; @* D# C韩国交易平台的遭遇,是加密行业与国家级对手博弈的预演。
8 \8 _+ _* u  k1 o* H7 x- V. U9 b; T1 C9 q3 u) b0 Y2 O" b
朝鲜是最显眼的玩家,但不是唯一的玩家。俄罗斯某些高威胁攻击组织被指与多起 DeFi 攻击存在关联,伊朗黑客曾针对以色列加密公司发动攻击,朝鲜自己也早已把战场从韩国扩展到全球,比如 2025 年 Bybit 的 15 亿美元、2022 年 Ronin 的 6.25 亿美元,受害者遍布各大洲。, m3 Z: X9 [' J" B0 \0 C
* }/ n# D8 v4 P- q" e  d/ Z

' g& {7 n( Q6 U# A& B2 Q加密行业有一个结构性矛盾,即一切必须经过中心化的入口。
1 i4 y6 W% X" i. s! q: k4 ^! `% X6 l8 Y# G
无论链本身多么安全,用户的资产终究要通过交易平台、跨链桥、热钱包这些「咽喉要道」流动。
! J- r4 f& j0 {+ c1 l- O
3 J' i! i  q) A. ^6 i这些节点集中了海量资金,却由预算有限的商业公司运营;对国家级黑客而言,这是效率极高的狩猎场' I; q5 b, i, |& \

4 z* D4 S$ i7 S  Z, o攻防双方的资源从根本上不对等,Lazarus 可以失败一百次,交易平台只能失败一次。  p3 G" C0 @& G; ~

8 b' }" T: T" J% S/ P泡菜溢价还会继续吸引全球套利者和本土散户,Lazarus 不会因为被bao光而停手,韩国交易平台与国家级黑客的攻防战远未结束。6 K% T% e! Y! o  `9 O! I" x% [* r$ A

8 U8 H% \3 I: q, X只是希望下一次被盗的,不是你自己的钱。
$ K7 x& K" m# ]  T- c! t, i1 ~" N6 f0 q3 H  C

, \' ?( \7 h' u# I
. |. d2 @- ~0 S8 k$ N( }* x. e3 a1 D( ]2 X$ ?3 P2 |" v

! N, u* Z  T$ X( K
7 D) f0 O1 |* E$ \7 O7 t8 J' P$ k9 \3 v9 [  r  V3 ]5 `
作者: 22301    时间: 2025-11-28 07:49
这个被盗了也是很无奈的事情了。
作者: 赚钱小样    时间: 2025-11-28 10:44
这个核心方面也是很重要的啦。
作者: whywhy    时间: 2025-11-28 14:46
又是盗币事件,Upbit 运气真糟糕,540 亿韩元不是小数目啊
作者: rainwang    时间: 2025-11-28 15:25
如此特别的结果,看来真的是有意思了
作者: 垂钓园    时间: 2025-11-28 18:37
这操作太狠了,连SPL代币都不放过,Upbit真是躺枪啊
作者: 爱美的女人    时间: 2025-11-28 21:08
再次被盗也是没有太安全了
作者: 右耳    时间: 2025-11-29 12:59
Upbit这平台真够背,又双叒叕被盯上了,这回损失也太大了
作者: 舞出精彩    时间: 2025-11-29 14:19
那是要在看是什么样的先吧
作者: 小作文    时间: 2025-11-30 13:34
六年前就中过招,Upbit这风控是真让人心累,大额提现还是冷钱包靠谱点
作者: g9527    时间: 2025-12-1 21:42
又是Upbit被盗,这安全漏洞也太吓人了
作者: 德罗星    时间: 2025-12-3 18:28
很是非常的转载的情况的啊。
作者: 叫我十三    时间: 2025-12-5 07:22
这波 Upbit 真是魔咒了,又到这天就出事,安全还能信吗
作者: whywhy    时间: 2025-12-8 13:36
又被盗了,Upbit 这次损失惨重啊,教训总结要及时,防范措施也得加强
作者: g9527    时间: 2025-12-10 17:58
这Upbit咋又给掏空了,六年了还是不长记性啊
作者: g9527    时间: 2025-12-16 19:13
这Upbit咋又双叒叕被一锅端了,六年了还没长记性啊
作者: g9527    时间: 2025-12-19 20:56
这Upbit六年了咋还这么不长记性,热钱包跟自家后院似的



欢迎光临 优惠论坛 (https://www.tcelue.tv/) Powered by Discuz! X3.1