优惠论坛

标题: 六年后同一天再次被盗:Upbit成韩朝「链上战场」核心(转) [打印本页]
作者: caoch    时间: 2025-11-28 00:19
标题: 六年后同一天再次被盗:Upbit成韩朝「链上战场」核心(转)
市场反弹了,但交易平台又被盗了。" E% N' e3 l6 w
' ^/ h7 e  J0 G7 ]# w; g! C
11 月 27 日,韩国最大的加密货币交易平台 Upbit 确认发生安全漏洞,导致价值约 540 亿韩元(约 3680 万美元)的资产流失。
3 [: s! U0 Z3 c- R) `5 P
, j  E/ n# p! F" r6 R& x首尔时间 11 月 27 日凌晨 04:42(KST),当大多数韩国交易员还在沉睡时,Upbit 的 Solana 热钱包地址出现了异常的大规模资金流出。6 {* {; l5 ^8 l3 u+ y- c
+ q+ F( @* I  ^: m! |
据慢雾等安全机构的链上监测数据,攻击者并未采取单一资产转移的方式,而是对 Upbit 在 Solana 链上的资产进行了「清空式」掠夺。
' f. p0 a, G/ Y* P
" r/ ]1 m2 ?& H) m4 K# V, b被盗资产不仅包含核心代币 SOL 和稳定币 USDC,还覆盖了 Solana 生态内几乎所有主流的 SPL 标准代币。' \* h) c; \+ e8 N  k9 \7 |8 {
: v8 o$ g2 T$ ^+ k! c' @
( J6 q; t; m% a% s& N! q
被盗资产清单(部分):- G2 w! A1 A, g
- ^4 X; J  k9 \1 n
· DeFi/基础设施类:JUP (Jupiter), RAY (Raydium), PYTH (Pyth Network), JTO (Jito), RENDER, IO 等。* U1 D0 H0 R1 r
& F% M3 J7 f1 T2 ~1 s' }
· Meme/社区类:BONK, WIF, MOODENG, PENGU, MEW, TRUMP 等。
3 @3 l0 U7 ~2 z) e0 n5 K" }( W  g9 o
· 其他项目:ACS, DRIFT, ZETA, SONIC 等。
1 j( Q  Q( `: D: q: l) M. R* Q4 r0 K  J% p  I
这种一锅端的特征表明,攻击者极有可能获取了 Upbit 负责 Solana 生态热钱包的私钥权限,或者是签名服务器(Signing Server)遭到了直接控制,导致其能够对该钱包下的所有 SPL 代币进行授权转移。- [8 E" ~- k( Y  N: c- k6 p. [5 `

9 T9 C5 {7 B7 l7 ^! s对于 Upbit 这家占据韩国 80% 市场份额、以拥有韩国互联网振兴院(KISA)最高安全等级认证为傲的巨头来说,这无疑是一次惨痛的「破防」。- o6 }7 _2 L0 V4 j+ a
3 T& ]* X8 N" A
不过,这也不是韩国交易平台第一次被盗了。  K/ F# g% W5 `9 L7 L$ V# w
$ X0 ~4 v$ |: l$ h  B
如果将时间轴拉长,我们会发现韩国加密市场在过去八年里,实际上一直在被黑客,尤其是朝鲜黑客光顾。
* s) u/ S7 Z) W# t' {2 ]( r0 S
1 I, W; g1 Y; u韩国加密市场,不仅是全球最疯狂的散户赌场,也是北朝鲜黑客最顺手的「提款机」。- G9 F2 S; u1 ]1 j9 E3 U" d

7 u* S0 A- f' R6 B! D) p2 ^8 V% y0 q八年朝韩攻防,被盗编年史7 @& Y' w- h8 M' b. a, u6 L
从早期的暴力破解到后来的社会工程学渗透,攻击手段不断进化,韩国交易平台的受难史也随之延长。3 `8 `) n4 b$ G

( \, `0 j( O7 N+ N1 J累计损失:约 2 亿美元(按被盗时价格;若按当前价格计算超过 12 亿美元,其中仅 2019 年 Upbit 被盗的 34.2 万枚 ETH 现值已超 10 亿美元)
& B' Y3 n( u4 L# e! T3 `; V- i4 E: _2 w! S) U; L9 E
· 2017:蛮荒时代,黑客从员工电脑下手6 y, C6 V2 n) B2 S+ Z
2017 年是加密牛市的起点,也是韩国交易平台噩梦的开始。
% G" A( C$ v! q* @. q6 U7 T! |" v9 z
这一年,韩国最大的交易平台 Bithumb 率先「中招」。6 月,黑客入侵了一名 Bithumb 员工的个人电脑,窃取了约 31,000 名用户的个人信息,随后利用这些数据对用户发起定向钓鱼攻击,卷走约 3200 万美元。事后调查发现,员工电脑上存储着未加密的客户数据,公司甚至没有安装基本的安全更新软件。$ v& m* a( c( p" O

6 h  W8 s. `: q这暴露了当时韩国交易平台安全管理的草台状态,连「不要在私人电脑存客户数据」这种常识都没有建立。; g4 H  `! j: o; ?- f" K

. P4 ?4 Z- q- J9 S2 N2 e3 ^更具标志性意义的是中型交易平台 Youbit 的覆灭。这家交易平台在一年内遭受了两次毁灭性打击:4 月份丢失近 4000 枚比特币(约 500 万美元),12 月再次被盗走 17% 的资产。不堪重负的 Youbit 宣布破产,用户只能先提取 75% 的余额,剩余部分需等待漫长的破产清算。
; e0 `8 `3 \+ f; l8 \' }3 D. g6 D" j0 ?: J- ?* V. @) M& D
Youbit 事件后,韩国互联网安全局(KISA)首次公开指控朝鲜是幕后黑手。这也向市场发出了一个信号:
* L3 l% L  l/ ]
. z% s6 q( b# O/ A交易平台面对的不再是普通网络窃贼,而是有着地缘ZZ目的的国家级黑客组织。6 [7 ~$ t4 |; f4 s. Q) ~
" q1 E( K6 u3 r4 b/ D1 w7 Q4 O6 O8 ^% u
· 2018:热钱包大劫案
7 F# n" W; i  `1 W$ M( E; M2018 年 6 月,韩国市场经历了连续重创。! c6 R5 N- U' v# c* v" _

# T3 R# w/ z6 F1 b9 J6 月 10 日,中型交易平台 Coinrail 遭遇袭击,损失超过 4000 万美元。与此前不同,这次黑客主要掠夺的是当时火热的 ICO 代币(如 Pundi X 的 NPXS),而非比特币或以太坊。消息传出后,比特币价格短时暴跌超过 10%,整个加密市场在两天内蒸发超过 400 亿美元市值。$ k2 Y$ ]9 n/ [, ]7 F, M
: F" W4 @" b  x/ i* f' ?4 j) }
仅仅十天后,韩国头部交易平台 Bithumb 也宣告失守,热钱包被盗走约 3100 万美元的 XRP 等代币。讽刺的是,攻击发生前几天,Bithumb 刚在推特上宣布正在「将资产转移至冷钱包以升级安全系统」。+ _3 z3 u9 j4 n* `3 D/ c7 r

( R: Z8 Q, x3 x0 u( B这是 Bithumb 一年半内第三次被黑客「光顾」。2 g* W4 U. ?4 R# P
, l4 K# _. J9 \( {. m- m
「连环爆雷」严重打击了市场信心。事后,韩国科技部对国内 21 家交易平台进行安全审查,结果显示只有 7 家通过全部 85 项检查,剩余 14 家「随时可能暴露于黑客攻击风险中」,其中 12 家在冷钱包管理方面存在严重漏洞。- k& Q& X' c& p4 V; ]2 k. ?

. }8 X& \! x( h, A5 H# U4 v- c· 2019:Upbit 的 342,000 枚 ETH 被盗- \7 [6 A' q5 ~* M7 F
2019 年 11 月 27 日,韩国最大交易平台 Upbit 遭遇了当时国内史上最大规模的单笔盗窃。  f; r, z* ^" z7 t) o

2 U& C& _9 p7 }黑客利用交易平台整理钱包的间隙,单笔转走了 342,000 枚 ETH。他们没有立即砸盘,而是通过「剥离链」(Peel Chain)技术,将资金拆解成无数笔小额交易,层层转移,最终流入数十家非 KYC 交易平台和混币器。
: ~8 E: C3 N( A5 p0 ~2 N! r; k$ E) ?
调查显示,57% 的被盗 ETH 以低于市场价 2.5% 的折扣在疑似朝鲜运营的交易平台兑换成比特币,剩余 43% 通过 13 个国家的 51 家交易平台洗白。9 x* \8 s* \( g' p0 b

4 t. V5 {3 V5 }6 c2 ~7 q直到五年后的 2024 年 11 月,韩国警方才正式确认该案系朝鲜黑客组织 Lazarus Group 和 Andariel 所为。调查人员通过 IP 追踪、资金流向分析,以及攻击代码中出现的朝鲜特有词汇「흘한 일」(意为「不重要」)锁定了攻击者身份。% i+ Z, A% R. c# F& S: b* i
. d& }  U0 \- O6 _  j
韩国当局与美国 FBI 合作追踪资产,历经四年司法程序,最终从瑞士一家交易平台追回 4.8 枚比特币(约 6 亿韩元),并于 2024 年 10 月归还 Upbit。" l9 k! E- w; \* J9 S/ ~9 t8 v. `

/ w% E) z% z+ N* R" U3 t不过相比被盗总额,这点追回几乎可以忽略不计。
: A2 @: k5 R2 a4 |' ^
! |% w! L" B3 X3 g) @% b" W) g· 2023:GDAC 事件: f) l# Z. z2 `1 p9 c; {, \: q
2023 年 4 月 9 日,中型交易平台 GDAC 遭遇攻击,损失约 1300 万美元——占其托管总资产的 23%。6 |7 s; M/ b4 p! t4 S$ _  {5 r

3 w- L/ u  O0 ^/ [) _9 ~6 l被盗资产包括约 61 枚 BTC、350 枚 ETH、1000 万枚 WEMIX 代币和 22 万 USDT。黑客控制了 GDAC 的热钱包,并迅速将部分资金通过 Tornado Cash 混币器洗白。
& T+ M/ z: V& ?$ o( c% d% N
3 ^* G0 U) E9 N2 {, |" K. K' }2 |· 2025:六年后的同一天,Upbit 再次沦陷
5 w. @; a* L3 l$ t六年前的同一天(11 月 27 日),Upbit 曾损失 342,000 枚 ETH。2 b) q! H8 t" K& w" W1 M" @6 ^2 t
! ^, g' h* j. U9 i& O9 B5 G* T
历史再次重演。凌晨 4:42,Upbit 的 Solana 热钱包出现异常资金流出,约 540 亿韩元(3680 万美元)的资产被转移至未知地址。0 ~8 D, n) F% A8 f: a0 b

& V1 A2 W6 Y. F- S" I  O! N2019 年 Upbit 事件之后,2020 年韩国正式实施《特定金融信息法》(特金法),要求所有交易平台取得 ISMS(信息安全管理体系)认证并在银行开设实名账户。大量无法达标的小型交易平台被迫退出市场,行业格局从「百所混战」收缩为少数几家巨头主导。Upbit 凭借 Kakao 系的资源背书和认证的通过,市场份额一度超过 80%。
- _. A4 \& Y1 G
6 `3 y  R+ b1 A, m* h但六年的合规建设,并没有让 Upbit 逃过这一劫。! ]6 I+ Z+ v( F! T: H2 w

1 A, a. H# v+ R( V0 U! u& b5 R截至发稿,Upbit 已宣布将用自有资产全额赔付用户损失,但关于攻击者身份和具体攻击路径,官方尚未公布详细信息。- o5 z- [4 ?  {/ b5 ?% n, n, l4 u
7 n0 m; x* h6 C1 i& A  d; P! C
泡菜溢价 、国家级黑客与核武器
( T% m% I( _6 ?2 _  D1 I韩国交易平台频频被盗并非单纯的技术无能,而是地缘ZZ的悲剧投影。1 H0 @% g9 z& F! ^, }5 c8 A9 z
  f( F# ^: A, ~% j" `. l- u
在一个高度中心化、流动性溢价极高且地理位置特殊的市场,韩国交易平台实际上是在用一家商业公司的安防预算,去对抗一个拥有核威慑诉求的国家级黑客部队。
" W- k0 Z1 Z3 i( F( X8 T& ^% V+ @) I) d, ~
这支部队有个名字:Lazarus Group; o" b' l! {: Q( M- f
6 h2 P  a9 F+ g6 e. y  s4 K
Lazarus 隶属于朝鲜侦察总局(RGB),是平壤最精锐的网络战力量之一。1 a- B( y7 h3 F6 s! ]" O4 c
5 ~4 I" E3 |! }' v8 a. C8 y& c7 p
在转向加密货币之前,他们已经在传统金融领域证明了自己的实力。: f2 P* c3 b* g

3 {( Z0 F* p- t9 d6 P! O2014 年攻破索尼影业,2016 年从孟加拉国央行盗走 8100 万美元,2017 年策划了波及 150 个国家的 WannaCry 勒索病毒。
: b- `& |1 G& I: Q* v7 J- g& q6 R2 k1 m2 P, z) W1 `: M
2017 年起,Lazarus 将目标转向加密货币领域。原因很简单:
: K0 A- G' }- q# L# k
* j: [2 e  J2 E* f- m' K) o) X相比传统银行,加密货币交易平台监管更松、安全标准参差不齐,而且一旦得手,资金可以通过链上转移迅速跨境,绕开国际制裁体系。
3 |6 @1 r# z) a5 f% e! V+ o! l# `/ a
而韩国,恰好是最理想的猎场。
- B& }) H) |4 b9 @3 r; ~3 |7 l9 ]- z; Y% L
第一,韩国是地缘对抗的天然目标。对朝鲜而言,攻击韩国企业不仅能获取资金,还能在「敌国」制造混乱,一举两得。0 j* c& @8 M, t9 K7 R
2 v& O2 _# {: |! w/ G0 b) D( n
第二,泡菜溢价背后是肥美的资金池。韩国散户对加密货币的狂热举世闻名,而溢价的本质是供不应求,大量韩元涌入,追逐有限的加密资产。1 F+ A" h* f4 N3 f
8 X7 \+ ?2 B9 Y, K
这意味着韩国交易平台的热钱包里,长期躺着远超其他市场的流动性。对黑客来说,这就是一座金矿。
/ u  [& P' p6 J; q3 o+ s5 X! W# f8 J) F, w9 M* B
第三,语言有优势。Lazarus 的攻击并非只靠技术暴力破解。他们擅长社会工程学,比如伪造招聘信息、发送钓鱼邮件、冒充客服套取验证码。0 J  x7 v: z* w$ C; g1 i! _& h/ Z3 W
' c8 k+ i* h3 Y1 k. E  H% i
朝韩同文同种,语言障碍为零,这让针对韩国员工和用户的定向钓鱼攻击成功率大幅提升。' q) G' p5 ]  Z0 {4 `2 ?; R% W

. G) q" i8 Q& [' h6 K9 t" B$ R被盗的钱去哪了?这可能才是故事最有看点的部分。7 ]9 J2 F2 J! n, H0 C) r. h
) u9 C4 X( G  B, Q* Z! A
根据联合国报告和多家区块链分析公司的追踪,Lazarus 窃取的加密货币最终流向了朝鲜的核武器和弹道导弹计划+ Z3 t2 \1 a' ]8 {/ i& I+ ?# {6 `. \

5 D  b6 u; M6 E  q- V4 M1 y4 b此前,路透社援引一份联合国机密报告称,朝鲜使用被盗的加密货币资金来帮助资助其导弹开发计划。' y; P5 s& g$ Q9 l5 ^& p$ V
' |9 e% X6 u; c  {- k( F- i
2023 年 5 月,白宫副国家安全顾问 Anne Neuberger 公开表示,朝鲜导弹计划约 50% 的资金来自网络攻击和加密货币盗窃;这一比例相比她 2022 年 7 月给出的「约三分之一」进一步上升。8 D! X  d! w+ `% i- z8 K4 x( T
6 o' V. V* Q( z9 h& R
换句话说,每一次韩国交易平台被盗,都可能在间接为三八线对面的核弹头添砖加瓦。
. ?4 N7 W1 J5 d# d: @
5 w3 m' I. P9 E, v& ]同时,洗钱路径已经相当成熟:被盗资产先通过「剥离链」技术拆分成无数小额交易,再经由混币器(如 Tornado Cash、Sinbad)混淆来源,然后通过朝鲜自建的交易平台以折扣价兑换成比特币,最后通过中俄的地下渠道兑换成法币。* {+ h9 h5 ?' ~% p7 D( d

7 D& B' K; _; w' ]2019 年 Upbit 被盗的 34.2 万枚 ETH,韩国警方正式公布调查结果显示: 57% 在疑似朝鲜运营的三家交易平台以低于市场价 2.5% 的价格兑换成比特币,剩余 43% 通过 13 个国家的 51 家交易平台洗白。整个过程历时数年,至今绝大部分资金仍未追回。* Y- B1 p1 C; g+ K5 ?6 s

3 z# U% S: C3 P这或许是韩国交易平台面临的根本困境:
9 v. H5 o0 n2 }. j+ @+ M
7 H- v5 V" m! k2 v( T% K# P, G一边是 Lazarus,一支拥有国家资源支持、可以 24 小时轮班作业、不计成本投入的黑客部队;另一边是 Upbit、Bithumb 这样的商业公司。
+ f* Y' M% v' N
! O3 k2 f* V9 M即便是通过审查的头部交易平台,在面对国家级高持续性威胁攻击时,依然力不从心。
4 ^; s- W' V* o9 n3 e4 R& P% M$ r; I& l, H2 P6 u
不只是韩国的问题. w$ S; _; ~: [: r1 }
八年、十余起攻击、约 2 亿美元损失,如果只把这当作韩国加密行业的本地新闻,就错过了更大的图景。& H* I' G7 }3 A% B5 p8 d4 X
$ J' O' e% r( [8 f3 W& _
韩国交易平台的遭遇,是加密行业与国家级对手博弈的预演。' u' P* _+ s& J: M- {0 @  \- w
" a- H$ b5 ~" I
朝鲜是最显眼的玩家,但不是唯一的玩家。俄罗斯某些高威胁攻击组织被指与多起 DeFi 攻击存在关联,伊朗黑客曾针对以色列加密公司发动攻击,朝鲜自己也早已把战场从韩国扩展到全球,比如 2025 年 Bybit 的 15 亿美元、2022 年 Ronin 的 6.25 亿美元,受害者遍布各大洲。
1 a8 n  b4 w8 Y( w0 z1 e
0 [0 _  g$ }& {( }1 N. S# a
7 r5 F5 d' ~. I加密行业有一个结构性矛盾,即一切必须经过中心化的入口。+ S4 a( w+ _3 V( m+ x6 T
; c' m/ ?) z0 ^) S  V: b  C
无论链本身多么安全,用户的资产终究要通过交易平台、跨链桥、热钱包这些「咽喉要道」流动。
$ q  E8 V" K+ J& E: Z- ?  r3 z; v3 p! m( G/ r5 t, o2 n
这些节点集中了海量资金,却由预算有限的商业公司运营;对国家级黑客而言,这是效率极高的狩猎场6 C3 p9 y0 K+ w- S
6 r. n* h! v/ M% k5 X4 J" I
攻防双方的资源从根本上不对等,Lazarus 可以失败一百次,交易平台只能失败一次。
# ~9 z$ F' L2 W: x6 _) V* T! Q. M1 N" p1 I% a& o, b  E; T
泡菜溢价还会继续吸引全球套利者和本土散户,Lazarus 不会因为被bao光而停手,韩国交易平台与国家级黑客的攻防战远未结束。
) `3 z3 ]$ R1 e6 _. V8 _* a) Z/ g' K: M: v; t& p9 e
只是希望下一次被盗的,不是你自己的钱。- M4 S2 G% ~" {7 j
+ T0 n& y$ N! z5 \

' L/ B$ A& i) e$ m: k* X; M/ ]
- k$ g. d2 O+ E* O* i+ a7 m9 ^; j' z

+ }, o; M+ A4 J$ C/ V  Y
4 M$ D" E1 q9 e( P0 E/ m1 R
$ ]4 h* L. e6 D4 W( [$ c5 T0 k
作者: 22301    时间: 2025-11-28 07:49
这个被盗了也是很无奈的事情了。
作者: 赚钱小样    时间: 2025-11-28 10:44
这个核心方面也是很重要的啦。
作者: whywhy    时间: 2025-11-28 14:46
又是盗币事件,Upbit 运气真糟糕,540 亿韩元不是小数目啊
作者: rainwang    时间: 2025-11-28 15:25
如此特别的结果,看来真的是有意思了
作者: 垂钓园    时间: 2025-11-28 18:37
这操作太狠了,连SPL代币都不放过,Upbit真是躺枪啊
作者: 爱美的女人    时间: 2025-11-28 21:08
再次被盗也是没有太安全了
作者: 右耳    时间: 2025-11-29 12:59
Upbit这平台真够背,又双叒叕被盯上了,这回损失也太大了
作者: 舞出精彩    时间: 2025-11-29 14:19
那是要在看是什么样的先吧
作者: 小作文    时间: 2025-11-30 13:34
六年前就中过招,Upbit这风控是真让人心累,大额提现还是冷钱包靠谱点
作者: g9527    时间: 2025-12-1 21:42
又是Upbit被盗,这安全漏洞也太吓人了
作者: 德罗星    时间: 2025-12-3 18:28
很是非常的转载的情况的啊。
作者: 叫我十三    时间: 2025-12-5 07:22
这波 Upbit 真是魔咒了,又到这天就出事,安全还能信吗
作者: whywhy    时间: 2025-12-8 13:36
又被盗了,Upbit 这次损失惨重啊,教训总结要及时,防范措施也得加强
作者: g9527    时间: 2025-12-10 17:58
这Upbit咋又给掏空了,六年了还是不长记性啊
作者: g9527    时间: 2025-12-16 19:13
这Upbit咋又双叒叕被一锅端了,六年了还没长记性啊
作者: g9527    时间: 2025-12-19 20:56
这Upbit六年了咋还这么不长记性,热钱包跟自家后院似的
作者: 右耳    时间: 2025-12-26 19:11
哎,又见老平台出事,真是让人心里拔凉拔凉的
作者: 叫我十三    时间: 2026-1-6 00:30
哎,这Upbit也是没谁了,隔几年就被盯上一次,这链上战场真不是闹着玩的
作者: g9527    时间: 2026-1-13 19:29
这Upbit咋又中招了,热钱包跟不设防似的
作者: 右耳    时间: 2026-1-16 17:56
这操作跟割韭菜似的,平台不牢靠,钱包比命还金贵
作者: g9527    时间: 2026-1-17 18:42
这Upbit六年了还不长记性,热钱包跟公共厕所似的谁都能进



欢迎光临 优惠论坛 (https://www.tcelue.tv/) Powered by Discuz! X3.1