优惠论坛

标题: 六年后同一天再次被盗:Upbit成韩朝「链上战场」核心(转) [打印本页]
作者: caoch    时间: 2025-11-28 00:19
标题: 六年后同一天再次被盗:Upbit成韩朝「链上战场」核心(转)
市场反弹了,但交易平台又被盗了。2 d* P4 T5 y  w9 x

' F1 X1 h: k. |* _9 o' [11 月 27 日,韩国最大的加密货币交易平台 Upbit 确认发生安全漏洞,导致价值约 540 亿韩元(约 3680 万美元)的资产流失。
8 k' g% N% j. R2 G) _. ^2 p( h& ^% ~  F# o% I2 m' B
首尔时间 11 月 27 日凌晨 04:42(KST),当大多数韩国交易员还在沉睡时,Upbit 的 Solana 热钱包地址出现了异常的大规模资金流出。
9 g7 S+ C3 a1 ~- l  @7 ]& v5 V4 C1 g. j: n! a, O
据慢雾等安全机构的链上监测数据,攻击者并未采取单一资产转移的方式,而是对 Upbit 在 Solana 链上的资产进行了「清空式」掠夺。& H6 Q' m7 N0 k7 w$ D
( Z% o1 }; R( N3 B. B0 o
被盗资产不仅包含核心代币 SOL 和稳定币 USDC,还覆盖了 Solana 生态内几乎所有主流的 SPL 标准代币。" V6 q3 }$ `/ M' S9 F
. N/ ?4 K8 G: E# L0 L" s( `8 h

! c+ v0 Z. C$ x$ D1 O% h1 _被盗资产清单(部分):8 `7 T! j0 W# n) \4 f% [( H: F$ r9 t6 [
. F3 O3 l  T7 P9 H7 M# R' l* H
· DeFi/基础设施类:JUP (Jupiter), RAY (Raydium), PYTH (Pyth Network), JTO (Jito), RENDER, IO 等。# x, p8 j+ ~, k: p- }- K0 D# b

1 d7 i4 X3 z8 G· Meme/社区类:BONK, WIF, MOODENG, PENGU, MEW, TRUMP 等。0 k$ Y2 A, i' F6 g" W5 g

" C( Y3 _5 d4 F' b) E· 其他项目:ACS, DRIFT, ZETA, SONIC 等。; V9 }: x5 o" Y6 K
2 V& X8 |6 y# ~$ {, A
这种一锅端的特征表明,攻击者极有可能获取了 Upbit 负责 Solana 生态热钱包的私钥权限,或者是签名服务器(Signing Server)遭到了直接控制,导致其能够对该钱包下的所有 SPL 代币进行授权转移。
: m" v2 e! P1 I9 T/ B! V" j- [! F$ U. O" v3 k
对于 Upbit 这家占据韩国 80% 市场份额、以拥有韩国互联网振兴院(KISA)最高安全等级认证为傲的巨头来说,这无疑是一次惨痛的「破防」。% n! M2 ^9 y, L& X4 W  T, l
9 z6 F, x. w! A3 a* M2 n! F" Y
不过,这也不是韩国交易平台第一次被盗了。
9 F% a1 I9 x3 [4 W2 {7 z& Q9 Q/ t7 y, {, w
如果将时间轴拉长,我们会发现韩国加密市场在过去八年里,实际上一直在被黑客,尤其是朝鲜黑客光顾。
2 D3 S  z$ [4 |( C2 Y. I  j  c3 C% F$ \0 ]; j4 q5 I
韩国加密市场,不仅是全球最疯狂的散户赌场,也是北朝鲜黑客最顺手的「提款机」。5 ^3 C# q( k3 s5 ^4 `
% e. b1 Q' o% }
八年朝韩攻防,被盗编年史
& L2 W! {+ T9 |% ^3 @从早期的暴力破解到后来的社会工程学渗透,攻击手段不断进化,韩国交易平台的受难史也随之延长。
6 }! X" ~; @5 ?# l# L/ c
3 R* r* I4 U; L2 I: P, _! ~累计损失:约 2 亿美元(按被盗时价格;若按当前价格计算超过 12 亿美元,其中仅 2019 年 Upbit 被盗的 34.2 万枚 ETH 现值已超 10 亿美元)
/ S5 b5 \% F4 f# N2 p  P. \0 c- K$ c7 N/ r% n
· 2017:蛮荒时代,黑客从员工电脑下手
! l2 Y8 ^6 L1 p8 ]0 M9 v1 q, Q2017 年是加密牛市的起点,也是韩国交易平台噩梦的开始。8 w) h  p2 A3 N2 f0 S

3 h3 s8 F3 R+ Z  ~6 \7 Y这一年,韩国最大的交易平台 Bithumb 率先「中招」。6 月,黑客入侵了一名 Bithumb 员工的个人电脑,窃取了约 31,000 名用户的个人信息,随后利用这些数据对用户发起定向钓鱼攻击,卷走约 3200 万美元。事后调查发现,员工电脑上存储着未加密的客户数据,公司甚至没有安装基本的安全更新软件。
' {( V( `' c0 c( G/ Q: N: d! e9 M5 F6 a+ l9 |" D$ w# G9 M6 I
这暴露了当时韩国交易平台安全管理的草台状态,连「不要在私人电脑存客户数据」这种常识都没有建立。
9 r# r! [  k; V$ T# ~5 U
/ @$ A' F  ~+ ~6 D更具标志性意义的是中型交易平台 Youbit 的覆灭。这家交易平台在一年内遭受了两次毁灭性打击:4 月份丢失近 4000 枚比特币(约 500 万美元),12 月再次被盗走 17% 的资产。不堪重负的 Youbit 宣布破产,用户只能先提取 75% 的余额,剩余部分需等待漫长的破产清算。% w8 m: _; Y9 E! S8 M4 S+ o: v

- w6 B3 }3 k. U5 ?2 _3 uYoubit 事件后,韩国互联网安全局(KISA)首次公开指控朝鲜是幕后黑手。这也向市场发出了一个信号:; W: y$ Y4 p: K/ H

. @% S, p4 i( s1 b交易平台面对的不再是普通网络窃贼,而是有着地缘ZZ目的的国家级黑客组织。
: B: m( S  x' H( F+ z! C' {# {9 Z8 f9 i6 ~5 k+ I
· 2018:热钱包大劫案
7 u/ N7 p9 L) G- E+ r2018 年 6 月,韩国市场经历了连续重创。
" e5 C. r. O% k2 j* n/ ?9 d. |' u+ M
6 月 10 日,中型交易平台 Coinrail 遭遇袭击,损失超过 4000 万美元。与此前不同,这次黑客主要掠夺的是当时火热的 ICO 代币(如 Pundi X 的 NPXS),而非比特币或以太坊。消息传出后,比特币价格短时暴跌超过 10%,整个加密市场在两天内蒸发超过 400 亿美元市值。0 C% [. D. \( C! `
9 d. U' D! _* b* l1 q" `6 L* r
仅仅十天后,韩国头部交易平台 Bithumb 也宣告失守,热钱包被盗走约 3100 万美元的 XRP 等代币。讽刺的是,攻击发生前几天,Bithumb 刚在推特上宣布正在「将资产转移至冷钱包以升级安全系统」。( {5 m4 |, Z5 {5 f% D5 s' @3 c
. \! G" J$ B9 H4 P
这是 Bithumb 一年半内第三次被黑客「光顾」。' }0 a6 ]" E& v8 C* i8 \
; ~' b% P! {. s1 _" X4 j( ?7 H/ s
「连环爆雷」严重打击了市场信心。事后,韩国科技部对国内 21 家交易平台进行安全审查,结果显示只有 7 家通过全部 85 项检查,剩余 14 家「随时可能暴露于黑客攻击风险中」,其中 12 家在冷钱包管理方面存在严重漏洞。) J+ y  N4 \" F) d6 F* t4 G

. }2 r5 _9 K) \; G! J; E· 2019:Upbit 的 342,000 枚 ETH 被盗
! B/ r8 s! }! T: F4 ?2019 年 11 月 27 日,韩国最大交易平台 Upbit 遭遇了当时国内史上最大规模的单笔盗窃。* P1 R* `- z$ t. a' |- _2 t7 H
* ?3 X% }6 @2 K1 y$ Q/ C% B# M6 }
黑客利用交易平台整理钱包的间隙,单笔转走了 342,000 枚 ETH。他们没有立即砸盘,而是通过「剥离链」(Peel Chain)技术,将资金拆解成无数笔小额交易,层层转移,最终流入数十家非 KYC 交易平台和混币器。
- o% v: h7 _7 t5 U/ W+ `" H; e: w( @7 z3 A
调查显示,57% 的被盗 ETH 以低于市场价 2.5% 的折扣在疑似朝鲜运营的交易平台兑换成比特币,剩余 43% 通过 13 个国家的 51 家交易平台洗白。
7 T$ ]# ?8 B1 Q, X2 P( L
0 C5 u+ E3 e# d! p: C直到五年后的 2024 年 11 月,韩国警方才正式确认该案系朝鲜黑客组织 Lazarus Group 和 Andariel 所为。调查人员通过 IP 追踪、资金流向分析,以及攻击代码中出现的朝鲜特有词汇「흘한 일」(意为「不重要」)锁定了攻击者身份。. A9 p3 P" T8 `8 b/ O: Z( y

5 d+ q7 k! L4 ^; {7 j韩国当局与美国 FBI 合作追踪资产,历经四年司法程序,最终从瑞士一家交易平台追回 4.8 枚比特币(约 6 亿韩元),并于 2024 年 10 月归还 Upbit。- Y$ K# a3 z. |4 L
8 ~$ T' |# c1 Y6 _9 j, Z3 J
不过相比被盗总额,这点追回几乎可以忽略不计。
4 K; R( ^$ K" Q8 K
6 G  S8 X% p9 w' k6 D: e· 2023:GDAC 事件4 F+ u$ Y) j+ b3 U( e
2023 年 4 月 9 日,中型交易平台 GDAC 遭遇攻击,损失约 1300 万美元——占其托管总资产的 23%。
) E4 d: Z$ k0 ]1 T6 l& Y; Y6 v2 I+ q# w- `7 S7 a( ]
被盗资产包括约 61 枚 BTC、350 枚 ETH、1000 万枚 WEMIX 代币和 22 万 USDT。黑客控制了 GDAC 的热钱包,并迅速将部分资金通过 Tornado Cash 混币器洗白。! k- M6 ~. G5 \1 H, |" g" l. S

: P  {( c* [5 m' r- T· 2025:六年后的同一天,Upbit 再次沦陷- e* T) ]2 L9 ~/ C
六年前的同一天(11 月 27 日),Upbit 曾损失 342,000 枚 ETH。
2 @( |0 T  {" h) a; t) V
  E+ m. W8 ]& M. X# r! r历史再次重演。凌晨 4:42,Upbit 的 Solana 热钱包出现异常资金流出,约 540 亿韩元(3680 万美元)的资产被转移至未知地址。! A4 n$ Z5 y9 y/ s

" @& k3 f: `  r/ e& c) P, h7 i0 i2019 年 Upbit 事件之后,2020 年韩国正式实施《特定金融信息法》(特金法),要求所有交易平台取得 ISMS(信息安全管理体系)认证并在银行开设实名账户。大量无法达标的小型交易平台被迫退出市场,行业格局从「百所混战」收缩为少数几家巨头主导。Upbit 凭借 Kakao 系的资源背书和认证的通过,市场份额一度超过 80%。/ _5 D8 ~3 A$ r3 D) H; i9 e+ u7 d2 V
& g% ^5 r3 q! e+ F9 Q4 n
但六年的合规建设,并没有让 Upbit 逃过这一劫。
! n: ]% t- c( \$ c1 r+ N: B0 E
截至发稿,Upbit 已宣布将用自有资产全额赔付用户损失,但关于攻击者身份和具体攻击路径,官方尚未公布详细信息。
3 T3 u4 V6 \6 t  [. Y: K' E! ^( s; `0 Y7 {3 h
泡菜溢价 、国家级黑客与核武器
4 }, N9 ?7 L7 Q0 X0 C( d+ y; [韩国交易平台频频被盗并非单纯的技术无能,而是地缘ZZ的悲剧投影。1 a$ W) y+ I$ B

! ?  P" @' K  I在一个高度中心化、流动性溢价极高且地理位置特殊的市场,韩国交易平台实际上是在用一家商业公司的安防预算,去对抗一个拥有核威慑诉求的国家级黑客部队。
6 a+ l, r' Y4 B* q5 w# h8 u
. c# V  n8 j! R; P; h这支部队有个名字:Lazarus Group
3 j; N: Q' K0 M
1 T  i3 z8 G3 K  M6 c: jLazarus 隶属于朝鲜侦察总局(RGB),是平壤最精锐的网络战力量之一。2 w* Z( v* U& _
) [, A8 j; P8 v8 R. U& r
在转向加密货币之前,他们已经在传统金融领域证明了自己的实力。. y- X; r3 w: r  _0 i  z# O6 P
. W5 m) ~1 R% V" U; J+ q' n! r2 j
2014 年攻破索尼影业,2016 年从孟加拉国央行盗走 8100 万美元,2017 年策划了波及 150 个国家的 WannaCry 勒索病毒。
4 t( E/ c1 T% _. e% H# J0 G- v
7 Q' K" F/ o+ L, p, r; D% m2017 年起,Lazarus 将目标转向加密货币领域。原因很简单:
' X! y: J- z: |1 b4 s3 w9 p  b
5 j) @; D2 y$ ~/ W& y0 p( T相比传统银行,加密货币交易平台监管更松、安全标准参差不齐,而且一旦得手,资金可以通过链上转移迅速跨境,绕开国际制裁体系。
* b: @! A. O1 r/ n2 v/ S
- e/ c; l7 q' {' \. I; ~' R# }% W而韩国,恰好是最理想的猎场。
8 s% A% |( F* o0 {4 _5 u2 @! q, h7 o6 G  I0 T
第一,韩国是地缘对抗的天然目标。对朝鲜而言,攻击韩国企业不仅能获取资金,还能在「敌国」制造混乱,一举两得。* T2 S. Y! i6 g3 ?* e& U! x( Z

) I) A& d2 b$ X. C第二,泡菜溢价背后是肥美的资金池。韩国散户对加密货币的狂热举世闻名,而溢价的本质是供不应求,大量韩元涌入,追逐有限的加密资产。
4 F+ j" c& ]: l( B; ]8 }$ ~" W! u" Z( H+ B. A8 K: |1 Z, ^
这意味着韩国交易平台的热钱包里,长期躺着远超其他市场的流动性。对黑客来说,这就是一座金矿。
7 o8 N2 i/ w  S3 t& l" C( _
! s+ p* N8 j/ m第三,语言有优势。Lazarus 的攻击并非只靠技术暴力破解。他们擅长社会工程学,比如伪造招聘信息、发送钓鱼邮件、冒充客服套取验证码。
  I3 M7 v) m- X; }" w
9 M" N% r, N8 o# x  q  T2 R1 j% e朝韩同文同种,语言障碍为零,这让针对韩国员工和用户的定向钓鱼攻击成功率大幅提升。
) _. `: M: G8 ]3 L2 j" z
3 t2 Z- g% t! k0 B被盗的钱去哪了?这可能才是故事最有看点的部分。
( [5 f+ E+ ^" A) d: c
7 @9 Q! T) [* X  W$ V根据联合国报告和多家区块链分析公司的追踪,Lazarus 窃取的加密货币最终流向了朝鲜的核武器和弹道导弹计划; S& f+ V7 j* B6 r" v! O

. p" E0 |! [  |: }  m1 s4 `% ~此前,路透社援引一份联合国机密报告称,朝鲜使用被盗的加密货币资金来帮助资助其导弹开发计划。
. r* [0 |$ C% {) h  q
2 O$ ^4 y7 ^, E2023 年 5 月,白宫副国家安全顾问 Anne Neuberger 公开表示,朝鲜导弹计划约 50% 的资金来自网络攻击和加密货币盗窃;这一比例相比她 2022 年 7 月给出的「约三分之一」进一步上升。
: S3 `! U  D4 Z6 l5 u! v) K! H+ q# `" m/ j1 {
换句话说,每一次韩国交易平台被盗,都可能在间接为三八线对面的核弹头添砖加瓦。
$ a& Z$ C9 n$ y2 w" \- r6 W/ @2 X  I% ?3 d  u6 P7 W" q7 B5 p2 D0 [3 V' \
同时,洗钱路径已经相当成熟:被盗资产先通过「剥离链」技术拆分成无数小额交易,再经由混币器(如 Tornado Cash、Sinbad)混淆来源,然后通过朝鲜自建的交易平台以折扣价兑换成比特币,最后通过中俄的地下渠道兑换成法币。
1 F& _5 L6 ]' v) B* U' o( b6 H+ _1 W$ b3 m3 ]! x3 G
2019 年 Upbit 被盗的 34.2 万枚 ETH,韩国警方正式公布调查结果显示: 57% 在疑似朝鲜运营的三家交易平台以低于市场价 2.5% 的价格兑换成比特币,剩余 43% 通过 13 个国家的 51 家交易平台洗白。整个过程历时数年,至今绝大部分资金仍未追回。6 l" N5 M! w* s9 @
' I* k4 ], w: c9 g8 C
这或许是韩国交易平台面临的根本困境:
( R% v' T  {% C
0 @4 M/ r7 y5 r一边是 Lazarus,一支拥有国家资源支持、可以 24 小时轮班作业、不计成本投入的黑客部队;另一边是 Upbit、Bithumb 这样的商业公司。: V; x0 n/ o+ A& Y) B& h

! @: j/ g1 }  {! Z! W' t2 ~7 P即便是通过审查的头部交易平台,在面对国家级高持续性威胁攻击时,依然力不从心。) w) I4 j* H+ v+ a+ ?$ F. ^
6 l3 p2 o& d0 E0 ]1 @% K, g# ~1 t- ]
不只是韩国的问题
: C9 `( K1 b9 \' Y八年、十余起攻击、约 2 亿美元损失,如果只把这当作韩国加密行业的本地新闻,就错过了更大的图景。9 I, ]0 O/ `" x% J% ^8 ?
# T6 N( h' l/ M1 |
韩国交易平台的遭遇,是加密行业与国家级对手博弈的预演。
* M9 j$ J0 Q9 J. |7 H
6 {  p& f  \* s朝鲜是最显眼的玩家,但不是唯一的玩家。俄罗斯某些高威胁攻击组织被指与多起 DeFi 攻击存在关联,伊朗黑客曾针对以色列加密公司发动攻击,朝鲜自己也早已把战场从韩国扩展到全球,比如 2025 年 Bybit 的 15 亿美元、2022 年 Ronin 的 6.25 亿美元,受害者遍布各大洲。8 \3 ^" g9 F+ Y* a& ~! E
# E! L: k/ H/ K9 q" A  r! ^/ b
+ u, S6 H+ b1 ~. ]
加密行业有一个结构性矛盾,即一切必须经过中心化的入口。
' d2 C9 e7 O  F0 Z8 I
: J* E8 c' J$ ^% |无论链本身多么安全,用户的资产终究要通过交易平台、跨链桥、热钱包这些「咽喉要道」流动。
6 P0 p8 W" j, V- k% @9 b* N: v4 w# s
这些节点集中了海量资金,却由预算有限的商业公司运营;对国家级黑客而言,这是效率极高的狩猎场
8 g+ s  d5 ?* [5 I- w# c2 i( z
; }7 p9 x" ^5 ~/ N( ]2 \8 i  x攻防双方的资源从根本上不对等,Lazarus 可以失败一百次,交易平台只能失败一次。7 D/ \7 ?6 K7 L* S# V
3 @, F4 {8 G! x
泡菜溢价还会继续吸引全球套利者和本土散户,Lazarus 不会因为被bao光而停手,韩国交易平台与国家级黑客的攻防战远未结束。
- p9 D, A0 y$ \
# K- M% @. U1 V- m9 x7 y& x只是希望下一次被盗的,不是你自己的钱。$ `- u9 o7 U! g$ a) j

4 ?* h: g: u! @# M
) A, @; a9 k$ R% p3 e7 n# z. D$ y, f7 y/ X9 w+ ~

+ `, G5 _8 t' B: G" [' [2 |/ _3 |. `" i0 c" l
9 x* m1 \* }# G+ R

, |' D7 B0 R- E1 b5 ^" V- \
作者: 22301    时间: 2025-11-28 07:49
这个被盗了也是很无奈的事情了。
作者: 赚钱小样    时间: 2025-11-28 10:44
这个核心方面也是很重要的啦。
作者: whywhy    时间: 2025-11-28 14:46
又是盗币事件,Upbit 运气真糟糕,540 亿韩元不是小数目啊
作者: rainwang    时间: 2025-11-28 15:25
如此特别的结果,看来真的是有意思了
作者: 垂钓园    时间: 2025-11-28 18:37
这操作太狠了,连SPL代币都不放过,Upbit真是躺枪啊
作者: 爱美的女人    时间: 2025-11-28 21:08
再次被盗也是没有太安全了
作者: 右耳    时间: 2025-11-29 12:59
Upbit这平台真够背,又双叒叕被盯上了,这回损失也太大了
作者: 舞出精彩    时间: 2025-11-29 14:19
那是要在看是什么样的先吧
作者: 小作文    时间: 2025-11-30 13:34
六年前就中过招,Upbit这风控是真让人心累,大额提现还是冷钱包靠谱点
作者: g9527    时间: 2025-12-1 21:42
又是Upbit被盗,这安全漏洞也太吓人了
作者: 德罗星    时间: 2025-12-3 18:28
很是非常的转载的情况的啊。
作者: 叫我十三    时间: 2025-12-5 07:22
这波 Upbit 真是魔咒了,又到这天就出事,安全还能信吗
作者: whywhy    时间: 2025-12-8 13:36
又被盗了,Upbit 这次损失惨重啊,教训总结要及时,防范措施也得加强
作者: g9527    时间: 2025-12-10 17:58
这Upbit咋又给掏空了,六年了还是不长记性啊
作者: g9527    时间: 2025-12-16 19:13
这Upbit咋又双叒叕被一锅端了,六年了还没长记性啊
作者: g9527    时间: 2025-12-19 20:56
这Upbit六年了咋还这么不长记性,热钱包跟自家后院似的
作者: 右耳    时间: 2025-12-26 19:11
哎,又见老平台出事,真是让人心里拔凉拔凉的
作者: 叫我十三    时间: 2026-1-6 00:30
哎,这Upbit也是没谁了,隔几年就被盯上一次,这链上战场真不是闹着玩的
作者: g9527    时间: 2026-1-13 19:29
这Upbit咋又中招了,热钱包跟不设防似的
作者: 右耳    时间: 2026-1-16 17:56
这操作跟割韭菜似的,平台不牢靠,钱包比命还金贵
作者: g9527    时间: 2026-1-17 18:42
这Upbit六年了还不长记性,热钱包跟公共厕所似的谁都能进



欢迎光临 优惠论坛 (https://www.tcelue.com/) Powered by Discuz! X3.1