优惠论坛

标题: 六年后同一天再次被盗:Upbit成韩朝「链上战场」核心(转) [打印本页]
作者: caoch    时间: 2025-11-28 00:19
标题: 六年后同一天再次被盗:Upbit成韩朝「链上战场」核心(转)
市场反弹了,但交易平台又被盗了。$ I- T% j; t/ M

3 l( B  ]% k- K: m11 月 27 日,韩国最大的加密货币交易平台 Upbit 确认发生安全漏洞,导致价值约 540 亿韩元(约 3680 万美元)的资产流失。$ k! @* u' y% I8 l/ `

0 o' `- A: B) h" ?首尔时间 11 月 27 日凌晨 04:42(KST),当大多数韩国交易员还在沉睡时,Upbit 的 Solana 热钱包地址出现了异常的大规模资金流出。
0 [5 n% w- g1 Z# T4 V
( z$ W' e- t" E; b' R据慢雾等安全机构的链上监测数据,攻击者并未采取单一资产转移的方式,而是对 Upbit 在 Solana 链上的资产进行了「清空式」掠夺。
( B' |6 `( j( @0 |
" k( t" B- i; L& d, G$ B被盗资产不仅包含核心代币 SOL 和稳定币 USDC,还覆盖了 Solana 生态内几乎所有主流的 SPL 标准代币。
0 r  y. V/ F  N) T5 C9 K& D: \3 v$ d+ J" z

: Y* E8 X  ^% M9 ~- d* B被盗资产清单(部分):
& E* w0 v- ?: F* w8 ]" l' h: d. [) e; q! E" Q  H5 {$ A
· DeFi/基础设施类:JUP (Jupiter), RAY (Raydium), PYTH (Pyth Network), JTO (Jito), RENDER, IO 等。3 x7 M' }) c+ w* Q& H: }9 o- S

. j) ~# t" G4 H0 ]# s/ s: y· Meme/社区类:BONK, WIF, MOODENG, PENGU, MEW, TRUMP 等。
9 ^( L& _9 ?+ l$ {6 q! r) E" o' B: s
· 其他项目:ACS, DRIFT, ZETA, SONIC 等。! h3 `( F+ L0 }: h1 k: z4 q

0 I7 e+ [0 D! b5 X4 L. y  F这种一锅端的特征表明,攻击者极有可能获取了 Upbit 负责 Solana 生态热钱包的私钥权限,或者是签名服务器(Signing Server)遭到了直接控制,导致其能够对该钱包下的所有 SPL 代币进行授权转移。
8 A) K# E, H! t, D( [9 u# c
8 h2 q- \) u# p! Y  s  J1 @5 g' X对于 Upbit 这家占据韩国 80% 市场份额、以拥有韩国互联网振兴院(KISA)最高安全等级认证为傲的巨头来说,这无疑是一次惨痛的「破防」。: H; G; W9 _0 t
( C# g  A1 `. x. G- Z
不过,这也不是韩国交易平台第一次被盗了。
/ `, Q) u+ r% H% e8 Q1 [( a4 H8 }: u! x2 q! J8 `) u
如果将时间轴拉长,我们会发现韩国加密市场在过去八年里,实际上一直在被黑客,尤其是朝鲜黑客光顾。/ L% w" b1 q) g- v7 b8 _

& w* \  ~' Z$ ]3 g$ Q韩国加密市场,不仅是全球最疯狂的散户赌场,也是北朝鲜黑客最顺手的「提款机」。3 {* ^: X6 i: f$ b& A7 {
+ n8 }. o4 G  k  t8 }* {: i9 ^- c% t5 z
八年朝韩攻防,被盗编年史
+ f5 P8 i" s5 V( B从早期的暴力破解到后来的社会工程学渗透,攻击手段不断进化,韩国交易平台的受难史也随之延长。
: e8 Q. f# n5 V2 Y- E3 Z+ O) x1 j$ H/ D6 |2 h
累计损失:约 2 亿美元(按被盗时价格;若按当前价格计算超过 12 亿美元,其中仅 2019 年 Upbit 被盗的 34.2 万枚 ETH 现值已超 10 亿美元)
% }: O: f8 ?1 V1 I. k
9 |/ X4 o/ {2 }" A/ P· 2017:蛮荒时代,黑客从员工电脑下手
; t: D) B/ I% J" S- h4 }2017 年是加密牛市的起点,也是韩国交易平台噩梦的开始。
7 q) J8 O7 j0 w& a4 ]$ t( w
5 r1 u, U' W1 v$ P( n2 K7 u这一年,韩国最大的交易平台 Bithumb 率先「中招」。6 月,黑客入侵了一名 Bithumb 员工的个人电脑,窃取了约 31,000 名用户的个人信息,随后利用这些数据对用户发起定向钓鱼攻击,卷走约 3200 万美元。事后调查发现,员工电脑上存储着未加密的客户数据,公司甚至没有安装基本的安全更新软件。
9 C* M9 m) r& |5 h
& y5 K/ [/ [* A" `! B4 Q这暴露了当时韩国交易平台安全管理的草台状态,连「不要在私人电脑存客户数据」这种常识都没有建立。  G* j$ P. I$ n" ~$ `, B( G
( u* a. v; D* c( L
更具标志性意义的是中型交易平台 Youbit 的覆灭。这家交易平台在一年内遭受了两次毁灭性打击:4 月份丢失近 4000 枚比特币(约 500 万美元),12 月再次被盗走 17% 的资产。不堪重负的 Youbit 宣布破产,用户只能先提取 75% 的余额,剩余部分需等待漫长的破产清算。& U7 `; l* e2 g' M! \" @
/ Y  [1 b/ y- Q$ n+ \
Youbit 事件后,韩国互联网安全局(KISA)首次公开指控朝鲜是幕后黑手。这也向市场发出了一个信号:
* w7 w  Z4 v) i: N( A
8 h! b: {* ~& h* M* O交易平台面对的不再是普通网络窃贼,而是有着地缘ZZ目的的国家级黑客组织。
3 c7 s  G% j0 ?! ^4 P. X9 Q+ z7 c3 X" g5 b6 S3 W0 C! Y
· 2018:热钱包大劫案( Y( s, @7 j5 \: B' S
2018 年 6 月,韩国市场经历了连续重创。3 b& S) A9 o: K, A7 ^; G

! o% z! k. U2 w, `2 x4 U! |6 月 10 日,中型交易平台 Coinrail 遭遇袭击,损失超过 4000 万美元。与此前不同,这次黑客主要掠夺的是当时火热的 ICO 代币(如 Pundi X 的 NPXS),而非比特币或以太坊。消息传出后,比特币价格短时暴跌超过 10%,整个加密市场在两天内蒸发超过 400 亿美元市值。
8 t3 }4 ?2 S" [+ ^6 Y6 O9 y
9 R0 x5 M5 p) ?仅仅十天后,韩国头部交易平台 Bithumb 也宣告失守,热钱包被盗走约 3100 万美元的 XRP 等代币。讽刺的是,攻击发生前几天,Bithumb 刚在推特上宣布正在「将资产转移至冷钱包以升级安全系统」。
& l" o* ~* G4 J6 l" H7 u
- M/ H1 G  W  }这是 Bithumb 一年半内第三次被黑客「光顾」。
% M. K" g/ i% t* Y! M" A9 Z
; |! F! ~8 B; e「连环爆雷」严重打击了市场信心。事后,韩国科技部对国内 21 家交易平台进行安全审查,结果显示只有 7 家通过全部 85 项检查,剩余 14 家「随时可能暴露于黑客攻击风险中」,其中 12 家在冷钱包管理方面存在严重漏洞。
& f; O$ h% x' W: u. _9 B, H( L. k; a4 B) {- N$ N: H, n$ _" Z6 J
· 2019:Upbit 的 342,000 枚 ETH 被盗
* R' a' K+ E6 x& P7 n  c2019 年 11 月 27 日,韩国最大交易平台 Upbit 遭遇了当时国内史上最大规模的单笔盗窃。
$ J1 r4 O5 N4 r6 b$ ?! v/ O/ I8 h, {. j% W6 ^
黑客利用交易平台整理钱包的间隙,单笔转走了 342,000 枚 ETH。他们没有立即砸盘,而是通过「剥离链」(Peel Chain)技术,将资金拆解成无数笔小额交易,层层转移,最终流入数十家非 KYC 交易平台和混币器。9 w0 k0 p* A: W2 B  x
3 L  ~4 k) ~# j- I) d
调查显示,57% 的被盗 ETH 以低于市场价 2.5% 的折扣在疑似朝鲜运营的交易平台兑换成比特币,剩余 43% 通过 13 个国家的 51 家交易平台洗白。# V0 I; O9 z- v6 Q$ ^( U, q
: G$ F# U& r/ f8 A) q0 G/ |
直到五年后的 2024 年 11 月,韩国警方才正式确认该案系朝鲜黑客组织 Lazarus Group 和 Andariel 所为。调查人员通过 IP 追踪、资金流向分析,以及攻击代码中出现的朝鲜特有词汇「흘한 일」(意为「不重要」)锁定了攻击者身份。
4 H) N1 T1 y& h- _6 F* \) T  j7 M+ n3 I; W% w3 e( c; Y
韩国当局与美国 FBI 合作追踪资产,历经四年司法程序,最终从瑞士一家交易平台追回 4.8 枚比特币(约 6 亿韩元),并于 2024 年 10 月归还 Upbit。
& |5 L- @" K! g- ^9 a3 K
7 @. d( N1 R! D" c3 F5 D不过相比被盗总额,这点追回几乎可以忽略不计。
" x% I9 X4 T. r& Z& Y3 P: D! n2 H+ ^/ ^* w( J
· 2023:GDAC 事件
8 K# p" N) w. b" f; X; A2023 年 4 月 9 日,中型交易平台 GDAC 遭遇攻击,损失约 1300 万美元——占其托管总资产的 23%。8 S! X2 I1 B' c
0 m% v- m( |, }# R4 w
被盗资产包括约 61 枚 BTC、350 枚 ETH、1000 万枚 WEMIX 代币和 22 万 USDT。黑客控制了 GDAC 的热钱包,并迅速将部分资金通过 Tornado Cash 混币器洗白。' p, ?" k+ v2 ~9 X4 k- ]
7 X4 \% m7 F; B4 _3 d$ ]' A
· 2025:六年后的同一天,Upbit 再次沦陷
7 t6 \- |( n8 V六年前的同一天(11 月 27 日),Upbit 曾损失 342,000 枚 ETH。( c7 u* E9 E. h# D- N3 U
2 V8 V$ O* ^8 ~7 ]: W
历史再次重演。凌晨 4:42,Upbit 的 Solana 热钱包出现异常资金流出,约 540 亿韩元(3680 万美元)的资产被转移至未知地址。
) F  i8 ]0 [. u8 N) g# I2 ^. o2 E3 ~, ?" m
2019 年 Upbit 事件之后,2020 年韩国正式实施《特定金融信息法》(特金法),要求所有交易平台取得 ISMS(信息安全管理体系)认证并在银行开设实名账户。大量无法达标的小型交易平台被迫退出市场,行业格局从「百所混战」收缩为少数几家巨头主导。Upbit 凭借 Kakao 系的资源背书和认证的通过,市场份额一度超过 80%。9 ?1 X7 R* m0 a" S6 [8 E5 c

% w% a$ u1 x* D; X2 L6 \但六年的合规建设,并没有让 Upbit 逃过这一劫。
8 e2 }5 B4 w8 A2 L9 Q3 g2 ^- N' Q2 z
截至发稿,Upbit 已宣布将用自有资产全额赔付用户损失,但关于攻击者身份和具体攻击路径,官方尚未公布详细信息。
5 F7 ^' l) M+ K! f$ |4 Z+ R+ `
3 G1 ?3 D" c' I" k, B泡菜溢价 、国家级黑客与核武器# J+ t% {/ b, c1 D8 G! o6 \; ^
韩国交易平台频频被盗并非单纯的技术无能,而是地缘ZZ的悲剧投影。
7 G0 H. a( O$ ~6 j; \* |8 f/ z( N( ~0 H; ~) v* F5 {
在一个高度中心化、流动性溢价极高且地理位置特殊的市场,韩国交易平台实际上是在用一家商业公司的安防预算,去对抗一个拥有核威慑诉求的国家级黑客部队。
. W) ], {( p' ]$ A' L) B+ m2 g" X" [
* r( ~9 B6 b/ w' L9 O5 ^( b5 ]5 S这支部队有个名字:Lazarus Group6 m' J9 O' M8 p4 y
: C7 r* \8 l. z% T1 J
Lazarus 隶属于朝鲜侦察总局(RGB),是平壤最精锐的网络战力量之一。, A" m5 R: F) P8 @# i4 p1 A' Q' I8 m' G

; Y( ^; C2 f; Z1 Z在转向加密货币之前,他们已经在传统金融领域证明了自己的实力。+ s% r! v' j+ S' [& W5 |" m
2 l: F5 |' x  Q, j' A
2014 年攻破索尼影业,2016 年从孟加拉国央行盗走 8100 万美元,2017 年策划了波及 150 个国家的 WannaCry 勒索病毒。
: d/ Q3 V6 d0 q. }; j" ?: T5 t  S2 m# \
2017 年起,Lazarus 将目标转向加密货币领域。原因很简单:
; y0 P- w/ y1 y& S! M$ K7 \, D
% D5 ]( c$ @: y: ?相比传统银行,加密货币交易平台监管更松、安全标准参差不齐,而且一旦得手,资金可以通过链上转移迅速跨境,绕开国际制裁体系。5 o" y  |5 Y. A5 J" D7 q% S
1 w2 r: w1 O: k
而韩国,恰好是最理想的猎场。3 k& ?5 P$ }( G) Z$ \" G
8 m$ q$ `* k) b
第一,韩国是地缘对抗的天然目标。对朝鲜而言,攻击韩国企业不仅能获取资金,还能在「敌国」制造混乱,一举两得。  q$ C' _" p  ^0 S  p- b) v

+ [# C: ~* W! E第二,泡菜溢价背后是肥美的资金池。韩国散户对加密货币的狂热举世闻名,而溢价的本质是供不应求,大量韩元涌入,追逐有限的加密资产。
7 K0 C9 y  K% D" `: I6 P9 q& `4 w* r2 U* p, N" q
这意味着韩国交易平台的热钱包里,长期躺着远超其他市场的流动性。对黑客来说,这就是一座金矿。& ^& \* _: w  E, x' s2 x9 W, \

1 ?; c2 m4 X# u7 N' g第三,语言有优势。Lazarus 的攻击并非只靠技术暴力破解。他们擅长社会工程学,比如伪造招聘信息、发送钓鱼邮件、冒充客服套取验证码。
" e; R0 \8 ~5 l/ M
  W4 n7 O) v& K' \朝韩同文同种,语言障碍为零,这让针对韩国员工和用户的定向钓鱼攻击成功率大幅提升。; j/ T* P+ W* M* J% Q! }# j8 B7 o6 ~

! B; o* O* |  ~% j被盗的钱去哪了?这可能才是故事最有看点的部分。
: z  ^# T% d) \8 X; a- s! T5 G6 _2 I1 _8 x3 B$ z. z3 i/ s
根据联合国报告和多家区块链分析公司的追踪,Lazarus 窃取的加密货币最终流向了朝鲜的核武器和弹道导弹计划
! [. p9 K: }1 {3 m% T- g, S: e2 F% T! Y. @7 F" v3 \5 h
此前,路透社援引一份联合国机密报告称,朝鲜使用被盗的加密货币资金来帮助资助其导弹开发计划。  m- K8 _5 b+ P8 ~* b0 u- M

5 B, b1 D! o3 T- y6 `6 r. K. e2023 年 5 月,白宫副国家安全顾问 Anne Neuberger 公开表示,朝鲜导弹计划约 50% 的资金来自网络攻击和加密货币盗窃;这一比例相比她 2022 年 7 月给出的「约三分之一」进一步上升。$ A$ Z' V/ K8 W+ D! S" U: d
' `- d" B# J$ S
换句话说,每一次韩国交易平台被盗,都可能在间接为三八线对面的核弹头添砖加瓦。
' o' D( w1 n* f5 Y5 _7 j$ A- I' Q: ~8 }( K# Y. U
同时,洗钱路径已经相当成熟:被盗资产先通过「剥离链」技术拆分成无数小额交易,再经由混币器(如 Tornado Cash、Sinbad)混淆来源,然后通过朝鲜自建的交易平台以折扣价兑换成比特币,最后通过中俄的地下渠道兑换成法币。# U( P9 j) g0 A* V2 @0 }! a
0 p6 @, S6 [: e5 R
2019 年 Upbit 被盗的 34.2 万枚 ETH,韩国警方正式公布调查结果显示: 57% 在疑似朝鲜运营的三家交易平台以低于市场价 2.5% 的价格兑换成比特币,剩余 43% 通过 13 个国家的 51 家交易平台洗白。整个过程历时数年,至今绝大部分资金仍未追回。" W  A2 E* Y- Y. t9 R
" _" |0 i. a4 w
这或许是韩国交易平台面临的根本困境:
# \  c9 ]$ s3 _5 W- x0 j+ \
8 l' ^& k; s( {. T) z% l. R6 F一边是 Lazarus,一支拥有国家资源支持、可以 24 小时轮班作业、不计成本投入的黑客部队;另一边是 Upbit、Bithumb 这样的商业公司。
" }: ]: |8 S: j# P& e
1 v& @7 x3 A1 y* V2 K# @% }即便是通过审查的头部交易平台,在面对国家级高持续性威胁攻击时,依然力不从心。9 O1 ^3 i+ n0 ]+ A* _
" z# Y8 X2 u' ^8 ]% m% u
不只是韩国的问题- U; K: B) c! t2 k# r# p7 r7 `
八年、十余起攻击、约 2 亿美元损失,如果只把这当作韩国加密行业的本地新闻,就错过了更大的图景。
/ r. T' A" h# J% f& ~
- H+ c( t  T( k% h9 a/ S6 X7 o韩国交易平台的遭遇,是加密行业与国家级对手博弈的预演。
4 w6 r" L/ j8 Q( K, X/ L) b# T7 P
8 f* M( |/ l1 |朝鲜是最显眼的玩家,但不是唯一的玩家。俄罗斯某些高威胁攻击组织被指与多起 DeFi 攻击存在关联,伊朗黑客曾针对以色列加密公司发动攻击,朝鲜自己也早已把战场从韩国扩展到全球,比如 2025 年 Bybit 的 15 亿美元、2022 年 Ronin 的 6.25 亿美元,受害者遍布各大洲。# L" I$ z: d: B& C: R7 J# G2 ^
5 E* G; R7 t! B# X1 w( x! R* _
' a1 x1 l6 o/ @& z1 n! A
加密行业有一个结构性矛盾,即一切必须经过中心化的入口。. A" p6 G3 L6 h6 }, Z
+ L5 \1 d! e8 I% v( |- E# b( ^
无论链本身多么安全,用户的资产终究要通过交易平台、跨链桥、热钱包这些「咽喉要道」流动。
" V5 M+ Z. ?- ?
% o" @9 w' f9 f7 Z; \: z  \( t5 e这些节点集中了海量资金,却由预算有限的商业公司运营;对国家级黑客而言,这是效率极高的狩猎场
+ {9 l. j3 _8 s& V
- z8 `( z5 s2 G攻防双方的资源从根本上不对等,Lazarus 可以失败一百次,交易平台只能失败一次。$ Q' d  M* q# P  s
+ o4 T/ y! t& H3 V" c1 h5 u  z+ A" ^& I2 x
泡菜溢价还会继续吸引全球套利者和本土散户,Lazarus 不会因为被bao光而停手,韩国交易平台与国家级黑客的攻防战远未结束。4 E' U& I& Z$ S% N$ ~) z2 f  `

- V& q$ g7 ]9 S只是希望下一次被盗的,不是你自己的钱。+ ?" ^$ D& J0 i3 P" Y6 r2 K

! A6 u9 F# o1 n; F# W  i4 R8 v, t! j. g# c6 H2 A
6 k3 k% K9 f! V; g5 ]

' u: j- t3 p3 ?8 t" _0 d. H' ^1 H; E. D. @

0 ~  a! r# ?0 m$ V9 T  f$ D( m" W0 x  M, k4 @: S
作者: 22301    时间: 2025-11-28 07:49
这个被盗了也是很无奈的事情了。
作者: 赚钱小样    时间: 2025-11-28 10:44
这个核心方面也是很重要的啦。
作者: whywhy    时间: 2025-11-28 14:46
又是盗币事件,Upbit 运气真糟糕,540 亿韩元不是小数目啊
作者: rainwang    时间: 2025-11-28 15:25
如此特别的结果,看来真的是有意思了
作者: 垂钓园    时间: 2025-11-28 18:37
这操作太狠了,连SPL代币都不放过,Upbit真是躺枪啊
作者: 爱美的女人    时间: 2025-11-28 21:08
再次被盗也是没有太安全了
作者: 右耳    时间: 2025-11-29 12:59
Upbit这平台真够背,又双叒叕被盯上了,这回损失也太大了
作者: 舞出精彩    时间: 2025-11-29 14:19
那是要在看是什么样的先吧
作者: 小作文    时间: 2025-11-30 13:34
六年前就中过招,Upbit这风控是真让人心累,大额提现还是冷钱包靠谱点
作者: g9527    时间: 2025-12-1 21:42
又是Upbit被盗,这安全漏洞也太吓人了
作者: 德罗星    时间: 2025-12-3 18:28
很是非常的转载的情况的啊。
作者: 叫我十三    时间: 2025-12-5 07:22
这波 Upbit 真是魔咒了,又到这天就出事,安全还能信吗
作者: whywhy    时间: 2025-12-8 13:36
又被盗了,Upbit 这次损失惨重啊,教训总结要及时,防范措施也得加强
作者: g9527    时间: 2025-12-10 17:58
这Upbit咋又给掏空了,六年了还是不长记性啊
作者: g9527    时间: 2025-12-16 19:13
这Upbit咋又双叒叕被一锅端了,六年了还没长记性啊
作者: g9527    时间: 2025-12-19 20:56
这Upbit六年了咋还这么不长记性,热钱包跟自家后院似的
作者: 右耳    时间: 2025-12-26 19:11
哎,又见老平台出事,真是让人心里拔凉拔凉的
作者: 叫我十三    时间: 2026-1-6 00:30
哎,这Upbit也是没谁了,隔几年就被盯上一次,这链上战场真不是闹着玩的
作者: g9527    时间: 2026-1-13 19:29
这Upbit咋又中招了,热钱包跟不设防似的
作者: 右耳    时间: 2026-1-16 17:56
这操作跟割韭菜似的,平台不牢靠,钱包比命还金贵
作者: g9527    时间: 2026-1-17 18:42
这Upbit六年了还不长记性,热钱包跟公共厕所似的谁都能进



欢迎光临 优惠论坛 (https://tcelue.com/) Powered by Discuz! X3.1