优惠论坛

标题: 六年后同一天再次被盗:Upbit成韩朝「链上战场」核心(转) [打印本页]
作者: caoch    时间: 2025-11-28 00:19
标题: 六年后同一天再次被盗:Upbit成韩朝「链上战场」核心(转)
市场反弹了,但交易平台又被盗了。
# H2 P/ U9 g4 b$ N; g+ s* u3 Z( ?  n3 m+ ~4 o* Y. I% u/ t
11 月 27 日,韩国最大的加密货币交易平台 Upbit 确认发生安全漏洞,导致价值约 540 亿韩元(约 3680 万美元)的资产流失。
% W: N' G4 K8 y# D7 B6 F- ]: R1 N0 H5 b4 J
首尔时间 11 月 27 日凌晨 04:42(KST),当大多数韩国交易员还在沉睡时,Upbit 的 Solana 热钱包地址出现了异常的大规模资金流出。
, M0 V- V. O% ~+ A% c- f, t% R$ v( K
据慢雾等安全机构的链上监测数据,攻击者并未采取单一资产转移的方式,而是对 Upbit 在 Solana 链上的资产进行了「清空式」掠夺。6 v5 t& i, B- N: C. T  C
) z5 X8 S' W4 }& T- j
被盗资产不仅包含核心代币 SOL 和稳定币 USDC,还覆盖了 Solana 生态内几乎所有主流的 SPL 标准代币。
8 [7 X# F( Z: T  R
7 r$ {9 ?. w5 N; D  Q' X$ \7 c; `, `& ~/ v2 l9 \7 o7 U
被盗资产清单(部分):# u" Y( c# _( H2 S+ N- e" I, }, @

8 A5 M6 F8 A7 Z· DeFi/基础设施类:JUP (Jupiter), RAY (Raydium), PYTH (Pyth Network), JTO (Jito), RENDER, IO 等。
3 ?% q" j1 N2 k2 N* X& S  b' Q
· Meme/社区类:BONK, WIF, MOODENG, PENGU, MEW, TRUMP 等。  _& q) O  Y) X5 l- B0 N

9 K' s# K8 N$ k& r: E& X8 i· 其他项目:ACS, DRIFT, ZETA, SONIC 等。, \% W4 p  a' G3 r8 J

- Z  l9 z! P; F) _& ?3 W! J; ]' ?( A这种一锅端的特征表明,攻击者极有可能获取了 Upbit 负责 Solana 生态热钱包的私钥权限,或者是签名服务器(Signing Server)遭到了直接控制,导致其能够对该钱包下的所有 SPL 代币进行授权转移。
& }! z+ p* s+ x: j# |- P5 Y# d9 a+ g
对于 Upbit 这家占据韩国 80% 市场份额、以拥有韩国互联网振兴院(KISA)最高安全等级认证为傲的巨头来说,这无疑是一次惨痛的「破防」。( e8 _+ V& D5 t3 d( ^2 o9 I

( [/ V: k. g. l+ X  M4 r不过,这也不是韩国交易平台第一次被盗了。' L4 z( t$ h# Y+ ~( d

1 y/ f$ ^4 }# G& c+ j' m1 ?4 J3 x+ }& p如果将时间轴拉长,我们会发现韩国加密市场在过去八年里,实际上一直在被黑客,尤其是朝鲜黑客光顾。  j: ~' ^/ a& N: P+ F: K6 d! D

* v8 z% v( m/ g0 a. Y, s: n韩国加密市场,不仅是全球最疯狂的散户赌场,也是北朝鲜黑客最顺手的「提款机」。3 h3 K* |1 l6 f8 E6 f0 f

+ `3 X! L# Q; E8 I7 Q八年朝韩攻防,被盗编年史+ Y- g) N# N7 C+ `! A8 ~  m: Q  U0 r
从早期的暴力破解到后来的社会工程学渗透,攻击手段不断进化,韩国交易平台的受难史也随之延长。7 ]2 P7 A9 J: I5 B5 T% v# s6 d

6 r# u  ^. a3 C" ?累计损失:约 2 亿美元(按被盗时价格;若按当前价格计算超过 12 亿美元,其中仅 2019 年 Upbit 被盗的 34.2 万枚 ETH 现值已超 10 亿美元)
6 Z, c+ D. `( ]" R1 K, n; U/ z; ~5 ]
2 O" M) G& B- p. F5 g$ s· 2017:蛮荒时代,黑客从员工电脑下手) h# R* \3 _, M( R6 F& t$ }8 q! X
2017 年是加密牛市的起点,也是韩国交易平台噩梦的开始。
, C. f9 P$ u# g6 |- T4 k% h+ @9 G) s* O2 g0 g" h: ~# \5 b
这一年,韩国最大的交易平台 Bithumb 率先「中招」。6 月,黑客入侵了一名 Bithumb 员工的个人电脑,窃取了约 31,000 名用户的个人信息,随后利用这些数据对用户发起定向钓鱼攻击,卷走约 3200 万美元。事后调查发现,员工电脑上存储着未加密的客户数据,公司甚至没有安装基本的安全更新软件。( F1 T3 e+ k5 `2 J( w+ w; [8 m& D- q5 e

: o' `3 H4 v' C) K5 r! ~这暴露了当时韩国交易平台安全管理的草台状态,连「不要在私人电脑存客户数据」这种常识都没有建立。, U9 ]- t) y1 g' _" g$ @- p, u
9 v5 O! d6 B; f' G3 ~
更具标志性意义的是中型交易平台 Youbit 的覆灭。这家交易平台在一年内遭受了两次毁灭性打击:4 月份丢失近 4000 枚比特币(约 500 万美元),12 月再次被盗走 17% 的资产。不堪重负的 Youbit 宣布破产,用户只能先提取 75% 的余额,剩余部分需等待漫长的破产清算。
* W/ n0 j2 I( L3 a6 e1 m5 n5 b5 N
Youbit 事件后,韩国互联网安全局(KISA)首次公开指控朝鲜是幕后黑手。这也向市场发出了一个信号:! G' P4 e& o/ |6 I: [/ t

; {* L# o3 a* C交易平台面对的不再是普通网络窃贼,而是有着地缘ZZ目的的国家级黑客组织。5 c! e1 S4 m/ o  v8 Q

" _4 ^, Q( }7 T7 b7 J· 2018:热钱包大劫案
5 x3 V) _7 A3 g0 J$ w; P& e2018 年 6 月,韩国市场经历了连续重创。+ l* H% ^2 k7 U

% U: f5 z5 |* |3 }( e- U6 月 10 日,中型交易平台 Coinrail 遭遇袭击,损失超过 4000 万美元。与此前不同,这次黑客主要掠夺的是当时火热的 ICO 代币(如 Pundi X 的 NPXS),而非比特币或以太坊。消息传出后,比特币价格短时暴跌超过 10%,整个加密市场在两天内蒸发超过 400 亿美元市值。
% S% A! A( U# s- h1 R/ |
6 m4 T  P8 g$ M  v$ C! i仅仅十天后,韩国头部交易平台 Bithumb 也宣告失守,热钱包被盗走约 3100 万美元的 XRP 等代币。讽刺的是,攻击发生前几天,Bithumb 刚在推特上宣布正在「将资产转移至冷钱包以升级安全系统」。
1 T' L5 E, r* {
, N/ W' k5 d6 ~7 W& H+ O+ Y这是 Bithumb 一年半内第三次被黑客「光顾」。
+ L+ u- O* H! `0 Z9 w$ f
# v6 R4 M: d& [' ~「连环爆雷」严重打击了市场信心。事后,韩国科技部对国内 21 家交易平台进行安全审查,结果显示只有 7 家通过全部 85 项检查,剩余 14 家「随时可能暴露于黑客攻击风险中」,其中 12 家在冷钱包管理方面存在严重漏洞。
3 K  ?6 w( m% L  ]$ S  |' ^2 E8 J5 h2 @0 j8 t, E5 t
· 2019:Upbit 的 342,000 枚 ETH 被盗
; S7 T$ [6 z7 f. v9 T2019 年 11 月 27 日,韩国最大交易平台 Upbit 遭遇了当时国内史上最大规模的单笔盗窃。
/ x" `0 N7 C, G  y1 F* H1 t# w. Q! _7 f, ~! U: \
黑客利用交易平台整理钱包的间隙,单笔转走了 342,000 枚 ETH。他们没有立即砸盘,而是通过「剥离链」(Peel Chain)技术,将资金拆解成无数笔小额交易,层层转移,最终流入数十家非 KYC 交易平台和混币器。
, m& c" R7 B; a8 S' Y9 V" T, }1 I2 q0 O
调查显示,57% 的被盗 ETH 以低于市场价 2.5% 的折扣在疑似朝鲜运营的交易平台兑换成比特币,剩余 43% 通过 13 个国家的 51 家交易平台洗白。
9 n) h: A% v6 w* P/ A5 t3 O" @7 L5 P2 ~
直到五年后的 2024 年 11 月,韩国警方才正式确认该案系朝鲜黑客组织 Lazarus Group 和 Andariel 所为。调查人员通过 IP 追踪、资金流向分析,以及攻击代码中出现的朝鲜特有词汇「흘한 일」(意为「不重要」)锁定了攻击者身份。
& W; z: L5 M7 K# ?8 b% X# T3 e- v  ]) n
韩国当局与美国 FBI 合作追踪资产,历经四年司法程序,最终从瑞士一家交易平台追回 4.8 枚比特币(约 6 亿韩元),并于 2024 年 10 月归还 Upbit。6 d  I/ R8 w+ C& m0 N7 V/ S
1 F4 ]5 p8 u6 r: C9 G" k, N( Q$ P
不过相比被盗总额,这点追回几乎可以忽略不计。
" I2 R/ k+ j' J0 C; ]7 |1 `+ c+ f
· 2023:GDAC 事件
0 u, a5 o3 ]; g  X2023 年 4 月 9 日,中型交易平台 GDAC 遭遇攻击,损失约 1300 万美元——占其托管总资产的 23%。' c$ z: j7 T  s" i' k$ J: v; e
& X6 _) u7 n. k
被盗资产包括约 61 枚 BTC、350 枚 ETH、1000 万枚 WEMIX 代币和 22 万 USDT。黑客控制了 GDAC 的热钱包,并迅速将部分资金通过 Tornado Cash 混币器洗白。
% ^- N3 U) i( h& Q  t7 e" w1 R' r
2 O( R- B6 }- W& y· 2025:六年后的同一天,Upbit 再次沦陷8 I! B0 j7 r7 F
六年前的同一天(11 月 27 日),Upbit 曾损失 342,000 枚 ETH。/ K  [. {# o- D4 ^/ x  M+ ~$ Y
, f. P: |" b- U7 Z2 A
历史再次重演。凌晨 4:42,Upbit 的 Solana 热钱包出现异常资金流出,约 540 亿韩元(3680 万美元)的资产被转移至未知地址。# P. v+ i% N6 p" _2 d
, |/ B8 D& X1 F* p$ s- P
2019 年 Upbit 事件之后,2020 年韩国正式实施《特定金融信息法》(特金法),要求所有交易平台取得 ISMS(信息安全管理体系)认证并在银行开设实名账户。大量无法达标的小型交易平台被迫退出市场,行业格局从「百所混战」收缩为少数几家巨头主导。Upbit 凭借 Kakao 系的资源背书和认证的通过,市场份额一度超过 80%。9 Z7 ]4 d" @$ m9 k* C. z' X% M
2 z% \5 j! _8 @% _/ B/ x6 S
但六年的合规建设,并没有让 Upbit 逃过这一劫。
" g6 F) L: M/ _4 y/ u1 _# }* ^; k7 ~: k) n
截至发稿,Upbit 已宣布将用自有资产全额赔付用户损失,但关于攻击者身份和具体攻击路径,官方尚未公布详细信息。" U  w8 E+ ]- A

) V4 W9 y% ?- Y0 {7 S8 a  f泡菜溢价 、国家级黑客与核武器. O3 Z% J) h' D# ^6 h; E* c7 N
韩国交易平台频频被盗并非单纯的技术无能,而是地缘ZZ的悲剧投影。
( y( [/ N( z) {3 {  P; e& S% Y. I8 W! b" m  j
在一个高度中心化、流动性溢价极高且地理位置特殊的市场,韩国交易平台实际上是在用一家商业公司的安防预算,去对抗一个拥有核威慑诉求的国家级黑客部队。$ R; N# d9 o2 C' c* O' y6 V3 @

+ ]$ a4 e+ q1 d( s. F4 K- [  ?这支部队有个名字:Lazarus Group
5 T/ {. ^0 W6 ], t% K4 @7 s+ z( [" d0 {5 F
Lazarus 隶属于朝鲜侦察总局(RGB),是平壤最精锐的网络战力量之一。. p# l& l+ `7 D4 U+ A) }
% H- Q4 u3 }! ]% u9 J7 P
在转向加密货币之前,他们已经在传统金融领域证明了自己的实力。
' \% R- C" _! {' U. y0 A
( k* H! L% Q$ n2014 年攻破索尼影业,2016 年从孟加拉国央行盗走 8100 万美元,2017 年策划了波及 150 个国家的 WannaCry 勒索病毒。2 {  [' F: y6 r/ U7 N
, X) E8 g0 [! e  l* U' `
2017 年起,Lazarus 将目标转向加密货币领域。原因很简单:
2 M9 [2 G( P1 X3 v+ B; D
( C8 M- [: v* ]相比传统银行,加密货币交易平台监管更松、安全标准参差不齐,而且一旦得手,资金可以通过链上转移迅速跨境,绕开国际制裁体系。( ~7 _/ u3 N- A

/ o+ u* }3 h; o  W6 ~! W9 p而韩国,恰好是最理想的猎场。- S% f  A& V% `/ t) g5 O  Q) P& J
2 S3 L+ {: G. A" Y) O5 z
第一,韩国是地缘对抗的天然目标。对朝鲜而言,攻击韩国企业不仅能获取资金,还能在「敌国」制造混乱,一举两得。
; W$ ]# z7 h/ b; W  T4 m4 ~2 Y3 h0 O$ X" o, K8 `
第二,泡菜溢价背后是肥美的资金池。韩国散户对加密货币的狂热举世闻名,而溢价的本质是供不应求,大量韩元涌入,追逐有限的加密资产。
, Z3 c0 T/ V7 S1 p4 V" p0 g
4 T; }+ Q1 L9 W  E) p, }0 @这意味着韩国交易平台的热钱包里,长期躺着远超其他市场的流动性。对黑客来说,这就是一座金矿。$ ?, T  q+ x  S/ M) w. |, S
$ N( {  Z- w8 p- z. x. f% a# m
第三,语言有优势。Lazarus 的攻击并非只靠技术暴力破解。他们擅长社会工程学,比如伪造招聘信息、发送钓鱼邮件、冒充客服套取验证码。
/ E% n/ }3 j9 S: g: \, D- E7 U+ S+ Q6 v; e
朝韩同文同种,语言障碍为零,这让针对韩国员工和用户的定向钓鱼攻击成功率大幅提升。
1 t" X: P# t3 X- C& P
; @3 [6 \4 P* i% s0 \被盗的钱去哪了?这可能才是故事最有看点的部分。! K$ \2 l- c2 o* O/ \; \

2 `" I- S% |+ ~% f6 Z) z根据联合国报告和多家区块链分析公司的追踪,Lazarus 窃取的加密货币最终流向了朝鲜的核武器和弹道导弹计划
9 \! i4 d  g" B7 Q8 A8 ^" m. }8 N2 E! S7 h. Y! @' ?
此前,路透社援引一份联合国机密报告称,朝鲜使用被盗的加密货币资金来帮助资助其导弹开发计划。
# X! I5 p, b# Q- |: E) ~4 k
7 }  g5 d2 O9 d7 B8 w2023 年 5 月,白宫副国家安全顾问 Anne Neuberger 公开表示,朝鲜导弹计划约 50% 的资金来自网络攻击和加密货币盗窃;这一比例相比她 2022 年 7 月给出的「约三分之一」进一步上升。) ~$ X1 d; A2 @

4 h( Z* t2 p. z/ C9 ]换句话说,每一次韩国交易平台被盗,都可能在间接为三八线对面的核弹头添砖加瓦。% x8 n- G+ I! \1 B7 R

$ J) U# o) ^9 h, C同时,洗钱路径已经相当成熟:被盗资产先通过「剥离链」技术拆分成无数小额交易,再经由混币器(如 Tornado Cash、Sinbad)混淆来源,然后通过朝鲜自建的交易平台以折扣价兑换成比特币,最后通过中俄的地下渠道兑换成法币。3 a$ w# W: {# m3 S. V" B  G; [% E

4 T% I9 t' B7 f4 R1 G2019 年 Upbit 被盗的 34.2 万枚 ETH,韩国警方正式公布调查结果显示: 57% 在疑似朝鲜运营的三家交易平台以低于市场价 2.5% 的价格兑换成比特币,剩余 43% 通过 13 个国家的 51 家交易平台洗白。整个过程历时数年,至今绝大部分资金仍未追回。& D) {  y8 \' E) R& |9 }

9 t3 F7 x7 c3 p- v( a5 S' J这或许是韩国交易平台面临的根本困境:
, O9 y' [8 Y" ], v
! f, l: K0 @7 a4 `% Z; Z一边是 Lazarus,一支拥有国家资源支持、可以 24 小时轮班作业、不计成本投入的黑客部队;另一边是 Upbit、Bithumb 这样的商业公司。2 R: B5 R7 a' E. [
0 c  w0 x- Q! [8 |& k& E
即便是通过审查的头部交易平台,在面对国家级高持续性威胁攻击时,依然力不从心。
" e, Q/ R# H2 }* {  l8 _/ \3 ?! R
9 G& J) q: _' m3 z$ y' a不只是韩国的问题( f) c! d" B+ ^+ [/ D
八年、十余起攻击、约 2 亿美元损失,如果只把这当作韩国加密行业的本地新闻,就错过了更大的图景。
" E0 U' Y( n6 U+ V- p6 F/ [; k
8 r; a0 ~7 t3 t$ z( T" h) B) a韩国交易平台的遭遇,是加密行业与国家级对手博弈的预演。- E8 u- D- _# f: T9 d4 M

+ ~  G6 B( ]% \# y6 r1 u* k2 m6 U; Y朝鲜是最显眼的玩家,但不是唯一的玩家。俄罗斯某些高威胁攻击组织被指与多起 DeFi 攻击存在关联,伊朗黑客曾针对以色列加密公司发动攻击,朝鲜自己也早已把战场从韩国扩展到全球,比如 2025 年 Bybit 的 15 亿美元、2022 年 Ronin 的 6.25 亿美元,受害者遍布各大洲。& d3 ?# B) I. y, N

* Q9 N+ x2 ?) {, H
" Y9 E& s, G' y2 k4 w4 k# ]; i加密行业有一个结构性矛盾,即一切必须经过中心化的入口。& P  A1 q. P$ V& i) e
3 B% I2 n2 l' F
无论链本身多么安全,用户的资产终究要通过交易平台、跨链桥、热钱包这些「咽喉要道」流动。
3 P% H0 ^7 j# H2 X4 ^/ y( H; C2 p9 I
4 i! ?5 g+ f$ Q0 p这些节点集中了海量资金,却由预算有限的商业公司运营;对国家级黑客而言,这是效率极高的狩猎场/ p( q( t. b, |+ J. b' W& b: q

/ @. A4 R' F! Y3 ~' U0 d攻防双方的资源从根本上不对等,Lazarus 可以失败一百次,交易平台只能失败一次。- D! L  J/ v  T
" f: w7 j+ E$ a. r! w( J" T
泡菜溢价还会继续吸引全球套利者和本土散户,Lazarus 不会因为被bao光而停手,韩国交易平台与国家级黑客的攻防战远未结束。% w- k. {9 |# U0 U2 I4 o. p* z( c

# c# N* ]0 K+ B4 s1 |  l只是希望下一次被盗的,不是你自己的钱。& p7 o0 `: G) L1 `- K0 @

" s/ v& x% v+ e& }& P1 y- n4 r8 a) K) n
" S  E, n" l2 B3 G
7 \- _& s5 J! e7 l' C

+ a. d7 n' j+ b; j! P& k0 J8 S
8 Q: |/ C' k. B9 R- D# s8 X: |/ J# w6 q
作者: 22301    时间: 2025-11-28 07:49
这个被盗了也是很无奈的事情了。
作者: 赚钱小样    时间: 2025-11-28 10:44
这个核心方面也是很重要的啦。
作者: whywhy    时间: 2025-11-28 14:46
又是盗币事件,Upbit 运气真糟糕,540 亿韩元不是小数目啊
作者: rainwang    时间: 2025-11-28 15:25
如此特别的结果,看来真的是有意思了
作者: 垂钓园    时间: 2025-11-28 18:37
这操作太狠了,连SPL代币都不放过,Upbit真是躺枪啊
作者: 爱美的女人    时间: 2025-11-28 21:08
再次被盗也是没有太安全了



欢迎光临 优惠论坛 (https://www.tcelue.co/) Powered by Discuz! X3.1