优惠论坛

标题: 六年后同一天再次被盗:Upbit成韩朝「链上战场」核心(转) [打印本页]
作者: caoch    时间: 2025-11-28 00:19
标题: 六年后同一天再次被盗:Upbit成韩朝「链上战场」核心(转)
市场反弹了,但交易平台又被盗了。
, H( ^' t( T6 ?6 x
0 D$ t5 _+ k  ]$ Y3 W8 j11 月 27 日,韩国最大的加密货币交易平台 Upbit 确认发生安全漏洞,导致价值约 540 亿韩元(约 3680 万美元)的资产流失。0 h5 Q- M+ ]* Q. g9 r

4 }! v0 S5 ?1 [6 U0 l6 \首尔时间 11 月 27 日凌晨 04:42(KST),当大多数韩国交易员还在沉睡时,Upbit 的 Solana 热钱包地址出现了异常的大规模资金流出。
- [8 |1 E, v* f- b# A$ \( Y" E& Z% D: m+ J8 V
据慢雾等安全机构的链上监测数据,攻击者并未采取单一资产转移的方式,而是对 Upbit 在 Solana 链上的资产进行了「清空式」掠夺。) G) q& V* F- R* t" s9 C3 Q8 L1 ?

  }( q, W8 {+ _  O) `0 d被盗资产不仅包含核心代币 SOL 和稳定币 USDC,还覆盖了 Solana 生态内几乎所有主流的 SPL 标准代币。
3 Q& K! c2 ~0 r
* l/ d1 L8 p% D' |, n% v" G5 c
" Q3 Q5 M! @6 |4 t( q5 t5 ~被盗资产清单(部分):% I' T1 \$ d- S2 i! i% m& Q

6 t* }! x' n. G+ P4 g1 J2 W; I· DeFi/基础设施类:JUP (Jupiter), RAY (Raydium), PYTH (Pyth Network), JTO (Jito), RENDER, IO 等。! K$ {; J3 J" G3 V
& H, m+ T. M5 A. s  q2 g
· Meme/社区类:BONK, WIF, MOODENG, PENGU, MEW, TRUMP 等。
8 j/ t' E% P4 \: i  n
( `  B6 f; O; g+ s· 其他项目:ACS, DRIFT, ZETA, SONIC 等。
( d6 S2 P  @- n: ?. a& {% Q2 p1 c9 R/ Y9 D" ?  e
这种一锅端的特征表明,攻击者极有可能获取了 Upbit 负责 Solana 生态热钱包的私钥权限,或者是签名服务器(Signing Server)遭到了直接控制,导致其能够对该钱包下的所有 SPL 代币进行授权转移。
( Y; E! I: ]7 |# Z8 W; Q1 \
1 Y% P! [) R! }: l/ ?对于 Upbit 这家占据韩国 80% 市场份额、以拥有韩国互联网振兴院(KISA)最高安全等级认证为傲的巨头来说,这无疑是一次惨痛的「破防」。8 j9 O* H7 s+ P* y- w
  q6 @; M* p$ O& {
不过,这也不是韩国交易平台第一次被盗了。8 p+ `# a) I+ y% ^% R

! ^7 `2 U0 r7 y0 S3 m如果将时间轴拉长,我们会发现韩国加密市场在过去八年里,实际上一直在被黑客,尤其是朝鲜黑客光顾。4 o% M! H4 Q3 Y8 N

% ~% W$ O& K! c韩国加密市场,不仅是全球最疯狂的散户赌场,也是北朝鲜黑客最顺手的「提款机」。
( L& m8 F0 k9 j; d( M; x9 @) D5 d4 b+ ~
八年朝韩攻防,被盗编年史
, Z4 L8 d" p2 l6 ^' v; C从早期的暴力破解到后来的社会工程学渗透,攻击手段不断进化,韩国交易平台的受难史也随之延长。
  B# N9 G# r4 B4 M, b: ^$ \) e- c0 t! T) d7 e
累计损失:约 2 亿美元(按被盗时价格;若按当前价格计算超过 12 亿美元,其中仅 2019 年 Upbit 被盗的 34.2 万枚 ETH 现值已超 10 亿美元)
3 [  M/ b# m2 d8 n0 x: `8 L( _7 V' Q. K* j- [" M
· 2017:蛮荒时代,黑客从员工电脑下手
. `- y6 ~+ i/ h  I$ U2017 年是加密牛市的起点,也是韩国交易平台噩梦的开始。
$ {+ u1 r! Q3 h% T1 s1 p9 V  m7 J
这一年,韩国最大的交易平台 Bithumb 率先「中招」。6 月,黑客入侵了一名 Bithumb 员工的个人电脑,窃取了约 31,000 名用户的个人信息,随后利用这些数据对用户发起定向钓鱼攻击,卷走约 3200 万美元。事后调查发现,员工电脑上存储着未加密的客户数据,公司甚至没有安装基本的安全更新软件。
( C0 y' B$ C/ \: R
$ P0 P  k2 m2 K+ R这暴露了当时韩国交易平台安全管理的草台状态,连「不要在私人电脑存客户数据」这种常识都没有建立。
; y0 n1 z7 _. s; \% }' e. D! _  e* N1 B5 M/ X5 p7 c7 @6 O
更具标志性意义的是中型交易平台 Youbit 的覆灭。这家交易平台在一年内遭受了两次毁灭性打击:4 月份丢失近 4000 枚比特币(约 500 万美元),12 月再次被盗走 17% 的资产。不堪重负的 Youbit 宣布破产,用户只能先提取 75% 的余额,剩余部分需等待漫长的破产清算。9 `* e) H( h8 P, u
8 l( h3 B* L3 n. C+ A3 _
Youbit 事件后,韩国互联网安全局(KISA)首次公开指控朝鲜是幕后黑手。这也向市场发出了一个信号:& U) S$ T7 v: c9 [
  Q9 j1 Q- c, F$ f8 c3 Q' P
交易平台面对的不再是普通网络窃贼,而是有着地缘ZZ目的的国家级黑客组织。
$ x8 T2 W$ G- Y- b7 D! N, w5 Q
. ?3 S1 i/ e  \6 d2 y4 r· 2018:热钱包大劫案% i% l& n) R' T+ p
2018 年 6 月,韩国市场经历了连续重创。/ v' _( m9 n$ g& C; P+ x9 c+ d. S
5 a6 z* G& v8 u: w0 }6 F# V- A; w; c
6 月 10 日,中型交易平台 Coinrail 遭遇袭击,损失超过 4000 万美元。与此前不同,这次黑客主要掠夺的是当时火热的 ICO 代币(如 Pundi X 的 NPXS),而非比特币或以太坊。消息传出后,比特币价格短时暴跌超过 10%,整个加密市场在两天内蒸发超过 400 亿美元市值。1 p: Y1 a; f1 |

! w4 }1 j6 F/ m( ^( y4 r仅仅十天后,韩国头部交易平台 Bithumb 也宣告失守,热钱包被盗走约 3100 万美元的 XRP 等代币。讽刺的是,攻击发生前几天,Bithumb 刚在推特上宣布正在「将资产转移至冷钱包以升级安全系统」。! z, P  w" }6 h7 H9 w

7 _( b! X# u' q: r0 h# V' D7 e这是 Bithumb 一年半内第三次被黑客「光顾」。5 J1 P# h$ O2 G1 ?7 M7 _

8 S4 e/ |" K1 W6 I「连环爆雷」严重打击了市场信心。事后,韩国科技部对国内 21 家交易平台进行安全审查,结果显示只有 7 家通过全部 85 项检查,剩余 14 家「随时可能暴露于黑客攻击风险中」,其中 12 家在冷钱包管理方面存在严重漏洞。
) e( C1 f. c8 J+ b. \% I3 y) A% i0 N8 \
· 2019:Upbit 的 342,000 枚 ETH 被盗; ]% H# _5 b  y1 l1 W8 `/ n' l( g
2019 年 11 月 27 日,韩国最大交易平台 Upbit 遭遇了当时国内史上最大规模的单笔盗窃。9 a. l. b+ e0 u% b1 w

3 k( Z7 B. G: p黑客利用交易平台整理钱包的间隙,单笔转走了 342,000 枚 ETH。他们没有立即砸盘,而是通过「剥离链」(Peel Chain)技术,将资金拆解成无数笔小额交易,层层转移,最终流入数十家非 KYC 交易平台和混币器。/ e( m* l. h$ O, l! R1 s+ N& I
; O+ x1 _( c& T6 Z% ^% V3 @
调查显示,57% 的被盗 ETH 以低于市场价 2.5% 的折扣在疑似朝鲜运营的交易平台兑换成比特币,剩余 43% 通过 13 个国家的 51 家交易平台洗白。* k* n) J% j0 u

  S4 G0 r8 G9 p8 n4 y" ]' f直到五年后的 2024 年 11 月,韩国警方才正式确认该案系朝鲜黑客组织 Lazarus Group 和 Andariel 所为。调查人员通过 IP 追踪、资金流向分析,以及攻击代码中出现的朝鲜特有词汇「흘한 일」(意为「不重要」)锁定了攻击者身份。2 `( K# f* \- _  u/ n& [8 r
2 O( q3 {5 E" W- C: [+ v& ]
韩国当局与美国 FBI 合作追踪资产,历经四年司法程序,最终从瑞士一家交易平台追回 4.8 枚比特币(约 6 亿韩元),并于 2024 年 10 月归还 Upbit。
( H/ W  p; e+ I6 S% s$ X% L" z' c3 x1 f/ M' \+ s$ F
不过相比被盗总额,这点追回几乎可以忽略不计。2 {. D# e* k* F" t' \8 e9 H( U/ y0 h
4 Z* o, W8 M  n: o7 j
· 2023:GDAC 事件( M% |( ~; v4 S9 i9 Q$ Q5 b
2023 年 4 月 9 日,中型交易平台 GDAC 遭遇攻击,损失约 1300 万美元——占其托管总资产的 23%。- X& y) w0 r+ u3 u; g
. C* }+ x" J2 a! J2 H# F$ n8 b
被盗资产包括约 61 枚 BTC、350 枚 ETH、1000 万枚 WEMIX 代币和 22 万 USDT。黑客控制了 GDAC 的热钱包,并迅速将部分资金通过 Tornado Cash 混币器洗白。
) ^3 q6 J8 E7 b  I0 B% O
$ g4 o% e) b, x  Z: ^0 G" i! }· 2025:六年后的同一天,Upbit 再次沦陷- B. L7 `6 j' ~0 j
六年前的同一天(11 月 27 日),Upbit 曾损失 342,000 枚 ETH。# W5 R( V$ x. B# q( @) `# z# _5 H7 U
3 S0 J; ^1 h. q& W2 J- v
历史再次重演。凌晨 4:42,Upbit 的 Solana 热钱包出现异常资金流出,约 540 亿韩元(3680 万美元)的资产被转移至未知地址。
3 q% W6 U5 Q' v8 m5 X5 x  n3 f
7 `* F2 \( v1 Z9 E) _2019 年 Upbit 事件之后,2020 年韩国正式实施《特定金融信息法》(特金法),要求所有交易平台取得 ISMS(信息安全管理体系)认证并在银行开设实名账户。大量无法达标的小型交易平台被迫退出市场,行业格局从「百所混战」收缩为少数几家巨头主导。Upbit 凭借 Kakao 系的资源背书和认证的通过,市场份额一度超过 80%。
" L0 f  V! N+ w
  T% S- E# ]4 h/ w$ a6 {& @( b8 _但六年的合规建设,并没有让 Upbit 逃过这一劫。
/ a+ ^' }/ d" l6 q( k& [2 x6 |: o3 c2 B6 @4 F
截至发稿,Upbit 已宣布将用自有资产全额赔付用户损失,但关于攻击者身份和具体攻击路径,官方尚未公布详细信息。
5 w  R+ \+ i2 u6 \4 ]3 f
3 g7 E' d, ~4 x% Y0 a" P& Q* }泡菜溢价 、国家级黑客与核武器
2 ~( x) ]" e9 ?8 m0 B韩国交易平台频频被盗并非单纯的技术无能,而是地缘ZZ的悲剧投影。+ R. y; `/ S' d" C, g
% I* a- S; J' k% Z, C  y
在一个高度中心化、流动性溢价极高且地理位置特殊的市场,韩国交易平台实际上是在用一家商业公司的安防预算,去对抗一个拥有核威慑诉求的国家级黑客部队。/ F, H5 G- v7 M# e* W3 ~/ d

6 [5 p$ a  V! w, C$ j这支部队有个名字:Lazarus Group( ^) p" S; H0 m9 L
/ i: K+ _" a% I$ X8 N$ G
Lazarus 隶属于朝鲜侦察总局(RGB),是平壤最精锐的网络战力量之一。
' Z5 G/ [6 Q1 U( @
1 ^. m7 E+ v) F& I- o" l: i在转向加密货币之前,他们已经在传统金融领域证明了自己的实力。' q4 L. _2 f9 Y

* P- X" _, y. H4 C( J2014 年攻破索尼影业,2016 年从孟加拉国央行盗走 8100 万美元,2017 年策划了波及 150 个国家的 WannaCry 勒索病毒。$ u% S' ?/ |1 i. c5 f
, F6 t! M  F9 [+ g# j3 ]; e& w; Z6 q, P
2017 年起,Lazarus 将目标转向加密货币领域。原因很简单:
1 \4 l; C/ C5 l) {6 r
9 C9 j6 E8 }' I3 t" [- @相比传统银行,加密货币交易平台监管更松、安全标准参差不齐,而且一旦得手,资金可以通过链上转移迅速跨境,绕开国际制裁体系。4 \7 {8 G/ f4 V& `* M: ~1 @- ?

, z& d9 J- ?7 H而韩国,恰好是最理想的猎场。
5 o! E' d" F9 j- c; N( `0 h! w: `6 x
. B2 I& R7 f" y3 O$ R第一,韩国是地缘对抗的天然目标。对朝鲜而言,攻击韩国企业不仅能获取资金,还能在「敌国」制造混乱,一举两得。6 M4 D8 h; o" |: R5 }
/ V2 \) b/ p: d" h5 i: m& l
第二,泡菜溢价背后是肥美的资金池。韩国散户对加密货币的狂热举世闻名,而溢价的本质是供不应求,大量韩元涌入,追逐有限的加密资产。
4 [! K# x1 ^2 N2 i; c# l7 c/ U; Y- E6 c' Y7 X6 X* C/ \$ d! |
这意味着韩国交易平台的热钱包里,长期躺着远超其他市场的流动性。对黑客来说,这就是一座金矿。7 J4 v6 G' q- [1 o8 ^0 F5 a3 \6 j# k

& \1 `) V- ?3 p, |7 p第三,语言有优势。Lazarus 的攻击并非只靠技术暴力破解。他们擅长社会工程学,比如伪造招聘信息、发送钓鱼邮件、冒充客服套取验证码。
) l; u/ [& q: K; h
2 W2 t4 @6 c3 U- [: N; P" h2 c朝韩同文同种,语言障碍为零,这让针对韩国员工和用户的定向钓鱼攻击成功率大幅提升。
2 S/ @2 w& A. l) u1 M1 E( `/ s) H& Q( E; _# k
被盗的钱去哪了?这可能才是故事最有看点的部分。5 M% \. W% F0 A

$ ]0 A2 R3 v" T; V7 u! o' u. _# D根据联合国报告和多家区块链分析公司的追踪,Lazarus 窃取的加密货币最终流向了朝鲜的核武器和弹道导弹计划
) L/ Q9 F" c8 s. Y, S
  q- }6 z3 `2 C" j2 {6 _' I/ [此前,路透社援引一份联合国机密报告称,朝鲜使用被盗的加密货币资金来帮助资助其导弹开发计划。
  H8 X- G) q9 e) R) w1 I
3 Y2 V& ]5 Z! A7 k4 s2 o2023 年 5 月,白宫副国家安全顾问 Anne Neuberger 公开表示,朝鲜导弹计划约 50% 的资金来自网络攻击和加密货币盗窃;这一比例相比她 2022 年 7 月给出的「约三分之一」进一步上升。1 m) I! _$ k" a( s9 }7 K& B6 Z

0 b  F; A5 n5 z; |4 p' h/ Y换句话说,每一次韩国交易平台被盗,都可能在间接为三八线对面的核弹头添砖加瓦。
9 C" F8 `/ d+ n; D3 T$ R/ H$ ?5 L' H9 _
同时,洗钱路径已经相当成熟:被盗资产先通过「剥离链」技术拆分成无数小额交易,再经由混币器(如 Tornado Cash、Sinbad)混淆来源,然后通过朝鲜自建的交易平台以折扣价兑换成比特币,最后通过中俄的地下渠道兑换成法币。! d% t9 O& E1 s6 Z

) i) b  V3 c6 `2 D5 s2 g- D2019 年 Upbit 被盗的 34.2 万枚 ETH,韩国警方正式公布调查结果显示: 57% 在疑似朝鲜运营的三家交易平台以低于市场价 2.5% 的价格兑换成比特币,剩余 43% 通过 13 个国家的 51 家交易平台洗白。整个过程历时数年,至今绝大部分资金仍未追回。$ S/ Z) m+ K2 c9 A* z! y: y

8 D. w: a- R, ]: y这或许是韩国交易平台面临的根本困境:
6 d( b2 ~/ L- d4 ^/ U9 u8 T
8 Q/ _$ C) Y5 J, ?0 n3 u一边是 Lazarus,一支拥有国家资源支持、可以 24 小时轮班作业、不计成本投入的黑客部队;另一边是 Upbit、Bithumb 这样的商业公司。( h9 O6 K2 q& V! N

( P9 H* \  e) x+ T; e! K即便是通过审查的头部交易平台,在面对国家级高持续性威胁攻击时,依然力不从心。1 e; T, o. w3 h* Q
" Q- C+ C$ F) ?& E8 ~
不只是韩国的问题
% m- @# A% h7 s) K+ Z八年、十余起攻击、约 2 亿美元损失,如果只把这当作韩国加密行业的本地新闻,就错过了更大的图景。
! y6 E9 S9 q/ B* C7 \( q3 g: p% X0 `  [: ?9 _
韩国交易平台的遭遇,是加密行业与国家级对手博弈的预演。
  I" Q8 x9 P4 ?- }2 c2 b; e1 K" `9 T- H3 o& E
朝鲜是最显眼的玩家,但不是唯一的玩家。俄罗斯某些高威胁攻击组织被指与多起 DeFi 攻击存在关联,伊朗黑客曾针对以色列加密公司发动攻击,朝鲜自己也早已把战场从韩国扩展到全球,比如 2025 年 Bybit 的 15 亿美元、2022 年 Ronin 的 6.25 亿美元,受害者遍布各大洲。% Z/ w) ~5 m8 g

4 a3 K6 X+ N# c0 ~( Z, A9 U6 B
& ]+ `9 R3 ]( t' h) c加密行业有一个结构性矛盾,即一切必须经过中心化的入口。
% n! C2 E( r& l0 J
1 v$ U$ J& X. ^( p) W" l0 y! U无论链本身多么安全,用户的资产终究要通过交易平台、跨链桥、热钱包这些「咽喉要道」流动。
- x3 B- \7 J2 J+ i3 P0 H1 M% L% u7 h. K& I
这些节点集中了海量资金,却由预算有限的商业公司运营;对国家级黑客而言,这是效率极高的狩猎场
( `/ o* K& K7 K( R4 h$ U8 w9 y- {5 c6 w2 S) o
攻防双方的资源从根本上不对等,Lazarus 可以失败一百次,交易平台只能失败一次。, m0 E% z% m. S# ^
2 B: e, J1 l2 d3 P7 T5 N
泡菜溢价还会继续吸引全球套利者和本土散户,Lazarus 不会因为被bao光而停手,韩国交易平台与国家级黑客的攻防战远未结束。- _6 r5 W/ j) z# D0 |8 M% N
+ E) h6 p3 O5 h; B: K
只是希望下一次被盗的,不是你自己的钱。
/ a/ ~/ p! j+ ]: e7 f% {" W8 f2 w0 n2 X* Q$ `8 a0 ?
, I0 m" H8 [  A( o

, s! ?* y. }6 `% z6 u! h% t" y9 @% g: F
. b, b' X* z( A! @. D4 |2 |
" `$ u( j" U  k/ v0 Y; b

; D7 i7 `' Q% f, M. y. |4 W% Y
作者: 22301    时间: 2025-11-28 07:49
这个被盗了也是很无奈的事情了。
作者: 赚钱小样    时间: 2025-11-28 10:44
这个核心方面也是很重要的啦。
作者: whywhy    时间: 2025-11-28 14:46
又是盗币事件,Upbit 运气真糟糕,540 亿韩元不是小数目啊
作者: rainwang    时间: 2025-11-28 15:25
如此特别的结果,看来真的是有意思了
作者: 垂钓园    时间: 2025-11-28 18:37
这操作太狠了,连SPL代币都不放过,Upbit真是躺枪啊
作者: 爱美的女人    时间: 2025-11-28 21:08
再次被盗也是没有太安全了
作者: 右耳    时间: 2025-11-29 12:59
Upbit这平台真够背,又双叒叕被盯上了,这回损失也太大了
作者: 舞出精彩    时间: 2025-11-29 14:19
那是要在看是什么样的先吧
作者: 小作文    时间: 2025-11-30 13:34
六年前就中过招,Upbit这风控是真让人心累,大额提现还是冷钱包靠谱点
作者: g9527    时间: 2025-12-1 21:42
又是Upbit被盗,这安全漏洞也太吓人了



欢迎光临 优惠论坛 (https://tcelue.com/) Powered by Discuz! X3.1