优惠论坛

标题: 六年后同一天再次被盗:Upbit成韩朝「链上战场」核心(转) [打印本页]
作者: caoch    时间: 2025-11-28 00:19
标题: 六年后同一天再次被盗:Upbit成韩朝「链上战场」核心(转)
市场反弹了,但交易平台又被盗了。
: _1 j3 w7 e/ v1 t( K. a- Y4 z2 r5 }% c8 i
11 月 27 日,韩国最大的加密货币交易平台 Upbit 确认发生安全漏洞,导致价值约 540 亿韩元(约 3680 万美元)的资产流失。# u& ^* j$ C1 c0 b0 J! k

+ O2 H; T. k$ J2 F+ e3 r5 K+ H首尔时间 11 月 27 日凌晨 04:42(KST),当大多数韩国交易员还在沉睡时,Upbit 的 Solana 热钱包地址出现了异常的大规模资金流出。
- W) K( D8 s: v" \
) v( |6 ?8 b/ d6 P8 O/ \据慢雾等安全机构的链上监测数据,攻击者并未采取单一资产转移的方式,而是对 Upbit 在 Solana 链上的资产进行了「清空式」掠夺。
9 W3 o& i+ v4 w5 S' c: v1 a1 l- @; Q
3 x5 p9 M' b/ `" Z被盗资产不仅包含核心代币 SOL 和稳定币 USDC,还覆盖了 Solana 生态内几乎所有主流的 SPL 标准代币。
% N2 M  T: V# T  f8 N4 p* c! k: K/ Q* c: x9 N

- x* j+ Y  h8 u, Y5 k7 m) _被盗资产清单(部分):9 l3 {+ e, F  ^8 f4 U8 A. |

5 H! v& H7 A, z, m6 r· DeFi/基础设施类:JUP (Jupiter), RAY (Raydium), PYTH (Pyth Network), JTO (Jito), RENDER, IO 等。
$ W/ N4 K0 t7 C- k+ m& f: o7 I9 q3 `1 l( {, D
· Meme/社区类:BONK, WIF, MOODENG, PENGU, MEW, TRUMP 等。  w4 \- N4 P9 |' M
( _  \0 U! I3 I2 D. `$ D3 O: @* z
· 其他项目:ACS, DRIFT, ZETA, SONIC 等。
9 [( y! a" _/ ?. G/ |6 `! N1 x) W
这种一锅端的特征表明,攻击者极有可能获取了 Upbit 负责 Solana 生态热钱包的私钥权限,或者是签名服务器(Signing Server)遭到了直接控制,导致其能够对该钱包下的所有 SPL 代币进行授权转移。
" ^! j5 j" R& V, a) |
) q" V  H5 l) ]% i, J* D. ]# G对于 Upbit 这家占据韩国 80% 市场份额、以拥有韩国互联网振兴院(KISA)最高安全等级认证为傲的巨头来说,这无疑是一次惨痛的「破防」。
5 E0 y, V6 _: g- x6 i+ A% z5 ~: o0 S) k0 Z0 z/ u- J
不过,这也不是韩国交易平台第一次被盗了。
4 D7 _4 T8 |, m. m& s  e1 M: R( i9 Z4 b, ~& T0 u
如果将时间轴拉长,我们会发现韩国加密市场在过去八年里,实际上一直在被黑客,尤其是朝鲜黑客光顾。
2 m" F% f; ^/ X
' Q+ b" _9 j" S韩国加密市场,不仅是全球最疯狂的散户赌场,也是北朝鲜黑客最顺手的「提款机」。
% N) U5 T0 Q$ s  X- c
) j! K4 B+ \/ ]8 D& }; [* S7 ]八年朝韩攻防,被盗编年史
! j; S4 C3 X5 V9 n1 O; }1 Q9 I. _/ _从早期的暴力破解到后来的社会工程学渗透,攻击手段不断进化,韩国交易平台的受难史也随之延长。$ v" d5 h4 c: q# [
8 z' g% y0 h; m5 m6 `2 W
累计损失:约 2 亿美元(按被盗时价格;若按当前价格计算超过 12 亿美元,其中仅 2019 年 Upbit 被盗的 34.2 万枚 ETH 现值已超 10 亿美元)
& y  K! \5 j6 S2 H/ V3 J( ?* j( S5 U9 r! U- q+ ^  N
· 2017:蛮荒时代,黑客从员工电脑下手
6 M* J5 i: A$ d8 E1 Z. y6 N2 b/ @2017 年是加密牛市的起点,也是韩国交易平台噩梦的开始。( d( `' \5 H/ c+ D* U

5 x9 d1 B* F4 g' K) @  N2 G这一年,韩国最大的交易平台 Bithumb 率先「中招」。6 月,黑客入侵了一名 Bithumb 员工的个人电脑,窃取了约 31,000 名用户的个人信息,随后利用这些数据对用户发起定向钓鱼攻击,卷走约 3200 万美元。事后调查发现,员工电脑上存储着未加密的客户数据,公司甚至没有安装基本的安全更新软件。. {9 d% O' G4 o. l* [! Y6 v

9 b/ V# m  i+ M6 [. |2 R  P5 U这暴露了当时韩国交易平台安全管理的草台状态,连「不要在私人电脑存客户数据」这种常识都没有建立。
. ?5 j# y, s' z1 p, p# u) H; }$ R( Q& m) \# N4 v' A" b2 N
更具标志性意义的是中型交易平台 Youbit 的覆灭。这家交易平台在一年内遭受了两次毁灭性打击:4 月份丢失近 4000 枚比特币(约 500 万美元),12 月再次被盗走 17% 的资产。不堪重负的 Youbit 宣布破产,用户只能先提取 75% 的余额,剩余部分需等待漫长的破产清算。/ g9 w) R! r4 ~

" |8 o! N6 r9 sYoubit 事件后,韩国互联网安全局(KISA)首次公开指控朝鲜是幕后黑手。这也向市场发出了一个信号:0 @8 ]0 N2 p' O1 p- R/ p
% u" X- O' G. N1 `7 u6 U1 p
交易平台面对的不再是普通网络窃贼,而是有着地缘ZZ目的的国家级黑客组织。
* Q8 Z1 E" T6 T/ l, p
1 m( g# b( N' |4 ^" e· 2018:热钱包大劫案6 `& J' g+ F- D1 J8 _; g5 L+ q0 m
2018 年 6 月,韩国市场经历了连续重创。
' u$ j+ R  b' Y) v, j1 w# X( f4 A% G% S
6 月 10 日,中型交易平台 Coinrail 遭遇袭击,损失超过 4000 万美元。与此前不同,这次黑客主要掠夺的是当时火热的 ICO 代币(如 Pundi X 的 NPXS),而非比特币或以太坊。消息传出后,比特币价格短时暴跌超过 10%,整个加密市场在两天内蒸发超过 400 亿美元市值。
0 y. Z- |" B% d+ k( z* n4 d* B6 X* P+ e- {8 Z! T
仅仅十天后,韩国头部交易平台 Bithumb 也宣告失守,热钱包被盗走约 3100 万美元的 XRP 等代币。讽刺的是,攻击发生前几天,Bithumb 刚在推特上宣布正在「将资产转移至冷钱包以升级安全系统」。
3 p* p( e. w& B( K- w
: u+ ]( S' ~* y, t5 w* m2 X这是 Bithumb 一年半内第三次被黑客「光顾」。& j$ }# j9 M# n7 v9 z" R) V

+ A; i# W8 w, P$ O! s% z「连环爆雷」严重打击了市场信心。事后,韩国科技部对国内 21 家交易平台进行安全审查,结果显示只有 7 家通过全部 85 项检查,剩余 14 家「随时可能暴露于黑客攻击风险中」,其中 12 家在冷钱包管理方面存在严重漏洞。0 X* g- @- Z! b1 m: k  z0 K, ]

3 A2 }9 a( Y5 C- k. I0 Z! C· 2019:Upbit 的 342,000 枚 ETH 被盗
2 O. h* J! B# Z. v/ |2019 年 11 月 27 日,韩国最大交易平台 Upbit 遭遇了当时国内史上最大规模的单笔盗窃。+ ?* P( Z( R5 U# O$ p7 b9 V
1 e6 Y& e( d2 V" k7 i6 G( X6 Y* H9 C& E
黑客利用交易平台整理钱包的间隙,单笔转走了 342,000 枚 ETH。他们没有立即砸盘,而是通过「剥离链」(Peel Chain)技术,将资金拆解成无数笔小额交易,层层转移,最终流入数十家非 KYC 交易平台和混币器。
( i5 l, N2 X/ f3 v1 V2 D
" H9 i4 m9 a$ s- i0 x1 l+ j6 b调查显示,57% 的被盗 ETH 以低于市场价 2.5% 的折扣在疑似朝鲜运营的交易平台兑换成比特币,剩余 43% 通过 13 个国家的 51 家交易平台洗白。2 S& a+ Q0 o: @2 _7 u/ t" {# a) D
( M" u9 z8 w7 L% m
直到五年后的 2024 年 11 月,韩国警方才正式确认该案系朝鲜黑客组织 Lazarus Group 和 Andariel 所为。调查人员通过 IP 追踪、资金流向分析,以及攻击代码中出现的朝鲜特有词汇「흘한 일」(意为「不重要」)锁定了攻击者身份。
) R& s1 g6 K+ p. A9 Y  N! H/ b& M4 v2 U4 g
韩国当局与美国 FBI 合作追踪资产,历经四年司法程序,最终从瑞士一家交易平台追回 4.8 枚比特币(约 6 亿韩元),并于 2024 年 10 月归还 Upbit。
6 ?/ V* }0 n5 h0 K) q: T: o9 D6 d+ g6 Y
不过相比被盗总额,这点追回几乎可以忽略不计。
5 u6 H2 }! H7 M6 o: x% j/ c$ r, }7 B) T: o* n7 C9 R5 j
· 2023:GDAC 事件# I' [8 i/ I  ?1 I( T" p9 ?
2023 年 4 月 9 日,中型交易平台 GDAC 遭遇攻击,损失约 1300 万美元——占其托管总资产的 23%。
: O  j7 O/ p4 ?3 _" z0 H  B. {
  M9 g4 K9 K" R+ S被盗资产包括约 61 枚 BTC、350 枚 ETH、1000 万枚 WEMIX 代币和 22 万 USDT。黑客控制了 GDAC 的热钱包,并迅速将部分资金通过 Tornado Cash 混币器洗白。1 f. i8 `8 L4 \. a

& Y. \2 ?: @' H, }· 2025:六年后的同一天,Upbit 再次沦陷; @" V$ I- X- N# w* n* ~* j1 H
六年前的同一天(11 月 27 日),Upbit 曾损失 342,000 枚 ETH。( y. z' i! A* L' m

' G; Z1 I' {/ B: I) e) S* L; N历史再次重演。凌晨 4:42,Upbit 的 Solana 热钱包出现异常资金流出,约 540 亿韩元(3680 万美元)的资产被转移至未知地址。1 R  c5 b2 n% A: I+ Y! Z
/ f  ]7 J# m7 d
2019 年 Upbit 事件之后,2020 年韩国正式实施《特定金融信息法》(特金法),要求所有交易平台取得 ISMS(信息安全管理体系)认证并在银行开设实名账户。大量无法达标的小型交易平台被迫退出市场,行业格局从「百所混战」收缩为少数几家巨头主导。Upbit 凭借 Kakao 系的资源背书和认证的通过,市场份额一度超过 80%。
" x4 P) z) S9 A; A# B' r+ [1 I- u( P& e
4 j8 R- C3 e7 N: y- h6 i但六年的合规建设,并没有让 Upbit 逃过这一劫。7 Z- W- g! h  _: @6 g9 ^

/ V' j. t7 q& {+ A# ^7 T1 r截至发稿,Upbit 已宣布将用自有资产全额赔付用户损失,但关于攻击者身份和具体攻击路径,官方尚未公布详细信息。% t6 w% b$ H- o- V0 [& {5 J

6 q; s3 X  Z" }9 h- i3 v# i+ t8 p& D泡菜溢价 、国家级黑客与核武器
. r, N5 P9 Z8 _7 u3 @韩国交易平台频频被盗并非单纯的技术无能,而是地缘ZZ的悲剧投影。
- I2 ?7 `' Q- o3 C; z$ S: Y0 d
1 F* }! ]  M( A2 [3 _在一个高度中心化、流动性溢价极高且地理位置特殊的市场,韩国交易平台实际上是在用一家商业公司的安防预算,去对抗一个拥有核威慑诉求的国家级黑客部队。
" e! n1 D: B$ L6 [+ F% m
1 G. h+ |  t+ J' F这支部队有个名字:Lazarus Group
3 X' v5 @/ G2 B3 n; p: i4 E! d; b" M5 \; I! E) T1 Q0 ?
Lazarus 隶属于朝鲜侦察总局(RGB),是平壤最精锐的网络战力量之一。) d7 J% [% S2 i) Y1 m9 S
9 F  Z& P6 \! F/ j  E
在转向加密货币之前,他们已经在传统金融领域证明了自己的实力。; w. ~& {2 i3 G, m. r( K
% f; c- q$ l7 m% W# F5 D
2014 年攻破索尼影业,2016 年从孟加拉国央行盗走 8100 万美元,2017 年策划了波及 150 个国家的 WannaCry 勒索病毒。
# D& F+ f, ?) {6 o# p
  X& A+ @  q6 a9 `* l- [* ?2017 年起,Lazarus 将目标转向加密货币领域。原因很简单:  ~% F. |0 n& s  c# M: i+ u9 _

5 p  F, P1 l9 Q: J3 t' N2 U相比传统银行,加密货币交易平台监管更松、安全标准参差不齐,而且一旦得手,资金可以通过链上转移迅速跨境,绕开国际制裁体系。
# w' ~# i3 R4 U1 t9 c* Z+ x* v& n4 B: @8 D9 @
而韩国,恰好是最理想的猎场。
$ T8 z9 \3 Z; l6 r0 c( E% _
1 o- N. L# X3 I5 T: k& ?第一,韩国是地缘对抗的天然目标。对朝鲜而言,攻击韩国企业不仅能获取资金,还能在「敌国」制造混乱,一举两得。
7 K& q2 I3 b* g) q- {" B
1 l! n; M1 S: l. x/ P6 K第二,泡菜溢价背后是肥美的资金池。韩国散户对加密货币的狂热举世闻名,而溢价的本质是供不应求,大量韩元涌入,追逐有限的加密资产。
8 F+ B! q7 G! J; R, K
& T; Z; f# `3 K/ R这意味着韩国交易平台的热钱包里,长期躺着远超其他市场的流动性。对黑客来说,这就是一座金矿。  Z% P" `4 n2 m- F1 S/ c

. n, o! p1 W( c$ y1 r第三,语言有优势。Lazarus 的攻击并非只靠技术暴力破解。他们擅长社会工程学,比如伪造招聘信息、发送钓鱼邮件、冒充客服套取验证码。
8 S, Y2 D5 p6 c* w- `+ e' B5 A7 D" m! k. o4 u
朝韩同文同种,语言障碍为零,这让针对韩国员工和用户的定向钓鱼攻击成功率大幅提升。
5 J1 x# ^$ a8 d) F/ L& b1 X6 h
7 x' ]6 n+ U- L4 n被盗的钱去哪了?这可能才是故事最有看点的部分。
0 R0 n0 I2 f% r0 X9 a; b) f2 |8 d6 ?  I# `
根据联合国报告和多家区块链分析公司的追踪,Lazarus 窃取的加密货币最终流向了朝鲜的核武器和弹道导弹计划8 u2 O# o! H, L& h. D  Z
( c8 ?: \1 |5 k) @' E
此前,路透社援引一份联合国机密报告称,朝鲜使用被盗的加密货币资金来帮助资助其导弹开发计划。
6 V0 C! i, @4 m8 j' [4 H* \7 Y3 o7 G! X5 E4 K1 i% X
2023 年 5 月,白宫副国家安全顾问 Anne Neuberger 公开表示,朝鲜导弹计划约 50% 的资金来自网络攻击和加密货币盗窃;这一比例相比她 2022 年 7 月给出的「约三分之一」进一步上升。; I; ^% S3 G0 n9 ]

* k% ?/ U* l* \! H: T5 w+ U3 a换句话说,每一次韩国交易平台被盗,都可能在间接为三八线对面的核弹头添砖加瓦。
, l) ]1 w( G" M$ |% R6 `
: K! @# c. x  M3 F  U6 x同时,洗钱路径已经相当成熟:被盗资产先通过「剥离链」技术拆分成无数小额交易,再经由混币器(如 Tornado Cash、Sinbad)混淆来源,然后通过朝鲜自建的交易平台以折扣价兑换成比特币,最后通过中俄的地下渠道兑换成法币。+ u( {% C3 T( {% _, L

* ]; h6 e1 N8 c2 K8 {7 T2019 年 Upbit 被盗的 34.2 万枚 ETH,韩国警方正式公布调查结果显示: 57% 在疑似朝鲜运营的三家交易平台以低于市场价 2.5% 的价格兑换成比特币,剩余 43% 通过 13 个国家的 51 家交易平台洗白。整个过程历时数年,至今绝大部分资金仍未追回。( f9 G8 \) b, ?

/ |& I5 S3 T( S0 H: Z# ?5 [这或许是韩国交易平台面临的根本困境:% J$ F+ X; v7 N& ^3 l, B: j

( k" r/ a( g6 O一边是 Lazarus,一支拥有国家资源支持、可以 24 小时轮班作业、不计成本投入的黑客部队;另一边是 Upbit、Bithumb 这样的商业公司。
* s+ \( P6 _4 q! d# J1 }; I5 J! G; B# c" h' i2 r9 Z5 k  Y8 `
即便是通过审查的头部交易平台,在面对国家级高持续性威胁攻击时,依然力不从心。% x; v9 Z/ ^; t! c6 N& |
+ ]; x$ k! c+ h( b1 k9 B6 E
不只是韩国的问题
, r, l& r4 K) u7 a八年、十余起攻击、约 2 亿美元损失,如果只把这当作韩国加密行业的本地新闻,就错过了更大的图景。7 _6 Z' m& i; d* H! q4 K% S! ^

( M7 h9 L- K/ S, ^0 u  ?: f+ u0 }韩国交易平台的遭遇,是加密行业与国家级对手博弈的预演。
6 @. B! |; C1 _0 y. W# Z3 G5 b! e$ p! O" Y8 c" \
朝鲜是最显眼的玩家,但不是唯一的玩家。俄罗斯某些高威胁攻击组织被指与多起 DeFi 攻击存在关联,伊朗黑客曾针对以色列加密公司发动攻击,朝鲜自己也早已把战场从韩国扩展到全球,比如 2025 年 Bybit 的 15 亿美元、2022 年 Ronin 的 6.25 亿美元,受害者遍布各大洲。
( c# d/ ]; ^  }  [: j6 p1 |( S% `' i: |3 ?

; a5 U; o+ U" u8 @1 H  x6 f加密行业有一个结构性矛盾,即一切必须经过中心化的入口。$ W0 r! G6 v3 H! d1 |

& W# j+ W+ O/ K& a; }: _3 _无论链本身多么安全,用户的资产终究要通过交易平台、跨链桥、热钱包这些「咽喉要道」流动。
# O) n; P: u/ |/ Y( Q- m2 W* T" T/ a1 l* ?
这些节点集中了海量资金,却由预算有限的商业公司运营;对国家级黑客而言,这是效率极高的狩猎场
3 P! i: `3 @( m5 L. t& H6 @: L2 S% B( [: m7 o8 {8 J1 {, i4 p$ E( m
攻防双方的资源从根本上不对等,Lazarus 可以失败一百次,交易平台只能失败一次。6 }2 n% H# P" E
; b6 J# J3 f4 c+ b7 d
泡菜溢价还会继续吸引全球套利者和本土散户,Lazarus 不会因为被bao光而停手,韩国交易平台与国家级黑客的攻防战远未结束。6 m) ^7 k7 q+ e- r% q& x
5 A& O' x$ d# Y& k% z  |" X
只是希望下一次被盗的,不是你自己的钱。
7 _. K6 g# M/ w, ^
! D1 t* @6 [9 S/ t- k" C6 a6 {0 [8 w9 O/ ^% c

) H3 X/ D  y4 i# ]1 r3 I. ^4 a7 N4 A$ [) U( G, ^

& M. E- \/ {- }: `" ]9 h" ]
1 K' u$ I) v* w9 i; c" ~; z3 n" v0 q
作者: 22301    时间: 2025-11-28 07:49
这个被盗了也是很无奈的事情了。
作者: 赚钱小样    时间: 2025-11-28 10:44
这个核心方面也是很重要的啦。
作者: whywhy    时间: 2025-11-28 14:46
又是盗币事件,Upbit 运气真糟糕,540 亿韩元不是小数目啊
作者: rainwang    时间: 2025-11-28 15:25
如此特别的结果,看来真的是有意思了
作者: 垂钓园    时间: 2025-11-28 18:37
这操作太狠了,连SPL代币都不放过,Upbit真是躺枪啊
作者: 爱美的女人    时间: 2025-11-28 21:08
再次被盗也是没有太安全了
作者: 右耳    时间: 2025-11-29 12:59
Upbit这平台真够背,又双叒叕被盯上了,这回损失也太大了
作者: 舞出精彩    时间: 2025-11-29 14:19
那是要在看是什么样的先吧
作者: 小作文    时间: 2025-11-30 13:34
六年前就中过招,Upbit这风控是真让人心累,大额提现还是冷钱包靠谱点
作者: g9527    时间: 2025-12-1 21:42
又是Upbit被盗,这安全漏洞也太吓人了
作者: 德罗星    时间: 2025-12-3 18:28
很是非常的转载的情况的啊。
作者: 叫我十三    时间: 2025-12-5 07:22
这波 Upbit 真是魔咒了,又到这天就出事,安全还能信吗
作者: whywhy    时间: 2025-12-8 13:36
又被盗了,Upbit 这次损失惨重啊,教训总结要及时,防范措施也得加强
作者: g9527    时间: 2025-12-10 17:58
这Upbit咋又给掏空了,六年了还是不长记性啊
作者: g9527    时间: 2025-12-16 19:13
这Upbit咋又双叒叕被一锅端了,六年了还没长记性啊
作者: g9527    时间: 2025-12-19 20:56
这Upbit六年了咋还这么不长记性,热钱包跟自家后院似的
作者: 右耳    时间: 2025-12-26 19:11
哎,又见老平台出事,真是让人心里拔凉拔凉的
作者: 叫我十三    时间: 2026-1-6 00:30
哎,这Upbit也是没谁了,隔几年就被盯上一次,这链上战场真不是闹着玩的
作者: g9527    时间: 2026-1-13 19:29
这Upbit咋又中招了,热钱包跟不设防似的
作者: 右耳    时间: 2026-1-16 17:56
这操作跟割韭菜似的,平台不牢靠,钱包比命还金贵
作者: g9527    时间: 2026-1-17 18:42
这Upbit六年了还不长记性,热钱包跟公共厕所似的谁都能进



欢迎光临 优惠论坛 (https://www.tcelue.co/) Powered by Discuz! X3.1