优惠论坛

标题: 六年后同一天再次被盗:Upbit成韩朝「链上战场」核心(转) [打印本页]
作者: caoch    时间: 2025-11-28 00:19
标题: 六年后同一天再次被盗:Upbit成韩朝「链上战场」核心(转)
市场反弹了,但交易平台又被盗了。: u. b" D% c! e' f1 {' G# P
$ w* A. g; f& v) ^
11 月 27 日,韩国最大的加密货币交易平台 Upbit 确认发生安全漏洞,导致价值约 540 亿韩元(约 3680 万美元)的资产流失。
; ]& l4 q+ z: ^* e+ a8 `4 b$ g# t' [
* }$ x# K9 z/ P3 `0 }- `7 y) x+ j首尔时间 11 月 27 日凌晨 04:42(KST),当大多数韩国交易员还在沉睡时,Upbit 的 Solana 热钱包地址出现了异常的大规模资金流出。
9 M# T" H  s  o3 C: w2 K# T% C& s' v3 T' F6 Z
据慢雾等安全机构的链上监测数据,攻击者并未采取单一资产转移的方式,而是对 Upbit 在 Solana 链上的资产进行了「清空式」掠夺。
) ?' Y! J/ ^" g$ m4 \" z! S4 O9 Q
. K% ?& X# U5 c被盗资产不仅包含核心代币 SOL 和稳定币 USDC,还覆盖了 Solana 生态内几乎所有主流的 SPL 标准代币。; _1 h& `- W  y" y5 ?
% n3 G1 e! t: V5 Y; U  t

/ o5 L4 f- T8 }8 M+ I* x: i被盗资产清单(部分):9 `2 x9 k9 s3 k, z8 I# X! z
3 R( {; C' }0 b1 F. ]
· DeFi/基础设施类:JUP (Jupiter), RAY (Raydium), PYTH (Pyth Network), JTO (Jito), RENDER, IO 等。/ ?- X/ _/ }/ |1 I0 ]( _" c$ g

! P4 i5 ~: o. z· Meme/社区类:BONK, WIF, MOODENG, PENGU, MEW, TRUMP 等。# R; \0 x. e, A: L
9 ?* O) U2 B" N8 c, j6 n5 x( F7 f; [
· 其他项目:ACS, DRIFT, ZETA, SONIC 等。+ ]! a7 J$ ?- \$ R. z  M% e6 C  Y

& j0 M3 s  C( J这种一锅端的特征表明,攻击者极有可能获取了 Upbit 负责 Solana 生态热钱包的私钥权限,或者是签名服务器(Signing Server)遭到了直接控制,导致其能够对该钱包下的所有 SPL 代币进行授权转移。0 _$ v8 \) Q; L$ G9 [4 c' Q& j; T

  T" r% ]. _1 O* I" Z; e' y/ M对于 Upbit 这家占据韩国 80% 市场份额、以拥有韩国互联网振兴院(KISA)最高安全等级认证为傲的巨头来说,这无疑是一次惨痛的「破防」。
( y0 q8 t" x" y/ i: p( X( |$ m( T: _1 h6 E
不过,这也不是韩国交易平台第一次被盗了。8 a  p/ v* @1 a# ~% C& D' f4 e3 S

+ z/ J% W( X! u2 @8 m6 ~如果将时间轴拉长,我们会发现韩国加密市场在过去八年里,实际上一直在被黑客,尤其是朝鲜黑客光顾。
0 s- d2 t3 i& s$ l3 U8 y; U: e* r1 |
韩国加密市场,不仅是全球最疯狂的散户赌场,也是北朝鲜黑客最顺手的「提款机」。
+ I9 r, v3 S& j0 j8 e6 l1 \# l5 K! ^* p# {: K) Y( B  |" z
八年朝韩攻防,被盗编年史/ g, c1 r9 j/ v9 n  P2 }  R
从早期的暴力破解到后来的社会工程学渗透,攻击手段不断进化,韩国交易平台的受难史也随之延长。
( Z) _3 R8 V3 q9 h9 g. y
' o0 ~$ }# @+ ~% v. K累计损失:约 2 亿美元(按被盗时价格;若按当前价格计算超过 12 亿美元,其中仅 2019 年 Upbit 被盗的 34.2 万枚 ETH 现值已超 10 亿美元)5 R5 E+ P+ l. U* O, W/ v
" ]' u, S+ d5 j$ M2 P9 q. }& z1 H
· 2017:蛮荒时代,黑客从员工电脑下手
; u) T- C( h$ l+ S2017 年是加密牛市的起点,也是韩国交易平台噩梦的开始。
$ E8 h1 g' e7 P8 Z, R& @, h, v) o: P! E/ \
这一年,韩国最大的交易平台 Bithumb 率先「中招」。6 月,黑客入侵了一名 Bithumb 员工的个人电脑,窃取了约 31,000 名用户的个人信息,随后利用这些数据对用户发起定向钓鱼攻击,卷走约 3200 万美元。事后调查发现,员工电脑上存储着未加密的客户数据,公司甚至没有安装基本的安全更新软件。
. U! g: Q- {8 V+ R: M' j! N) t5 ~1 {: V. W- M- O: t
这暴露了当时韩国交易平台安全管理的草台状态,连「不要在私人电脑存客户数据」这种常识都没有建立。
: ]' c; a3 E. L
% d6 z) T0 h. @; e9 b5 p) F+ h  e/ ?& Q更具标志性意义的是中型交易平台 Youbit 的覆灭。这家交易平台在一年内遭受了两次毁灭性打击:4 月份丢失近 4000 枚比特币(约 500 万美元),12 月再次被盗走 17% 的资产。不堪重负的 Youbit 宣布破产,用户只能先提取 75% 的余额,剩余部分需等待漫长的破产清算。
! Z* _6 P$ H* P# j6 b. p+ R* E$ t6 X2 l& r- U0 ?
Youbit 事件后,韩国互联网安全局(KISA)首次公开指控朝鲜是幕后黑手。这也向市场发出了一个信号:- X; t# B+ q! k8 l# U% @

$ V% I/ z2 }8 [交易平台面对的不再是普通网络窃贼,而是有着地缘ZZ目的的国家级黑客组织。- U6 u/ H, j3 C, t1 K% W& l% {
: p5 g) X/ V9 s4 g
· 2018:热钱包大劫案
! ~$ a6 i7 ^# t# O5 O8 J2018 年 6 月,韩国市场经历了连续重创。, t6 ]1 a, ?3 D* ~- L! @7 C

: f- [4 v( ?' G+ Y$ v6 月 10 日,中型交易平台 Coinrail 遭遇袭击,损失超过 4000 万美元。与此前不同,这次黑客主要掠夺的是当时火热的 ICO 代币(如 Pundi X 的 NPXS),而非比特币或以太坊。消息传出后,比特币价格短时暴跌超过 10%,整个加密市场在两天内蒸发超过 400 亿美元市值。# }  q& g& N& u; n$ b' M% W8 p
/ L0 W: T, C4 G$ w, J
仅仅十天后,韩国头部交易平台 Bithumb 也宣告失守,热钱包被盗走约 3100 万美元的 XRP 等代币。讽刺的是,攻击发生前几天,Bithumb 刚在推特上宣布正在「将资产转移至冷钱包以升级安全系统」。
4 s+ g; G2 H) L9 S' M+ p& Q$ a) Y0 M  L3 x1 q3 o: h# @" q
这是 Bithumb 一年半内第三次被黑客「光顾」。
9 z# l4 e4 X$ g( M
' Z7 n6 u& ^( s( J6 e8 z9 G+ ~: N「连环爆雷」严重打击了市场信心。事后,韩国科技部对国内 21 家交易平台进行安全审查,结果显示只有 7 家通过全部 85 项检查,剩余 14 家「随时可能暴露于黑客攻击风险中」,其中 12 家在冷钱包管理方面存在严重漏洞。- l7 \9 f; U% e/ y1 ]

9 U" s0 d9 B! _) [; S  V· 2019:Upbit 的 342,000 枚 ETH 被盗  h( y2 u$ A; a9 {- g. _
2019 年 11 月 27 日,韩国最大交易平台 Upbit 遭遇了当时国内史上最大规模的单笔盗窃。
  Q4 d% K8 j7 _9 K( F% z/ z
8 w9 c2 L; S2 e# w8 K黑客利用交易平台整理钱包的间隙,单笔转走了 342,000 枚 ETH。他们没有立即砸盘,而是通过「剥离链」(Peel Chain)技术,将资金拆解成无数笔小额交易,层层转移,最终流入数十家非 KYC 交易平台和混币器。$ k% ?$ r2 J, x5 O. b+ W
+ J& g( L! x/ k" U8 ^, S' ^6 z- s
调查显示,57% 的被盗 ETH 以低于市场价 2.5% 的折扣在疑似朝鲜运营的交易平台兑换成比特币,剩余 43% 通过 13 个国家的 51 家交易平台洗白。
. p1 S* w3 }2 E- u! I/ I6 a' f
  v, ?6 i% y4 D- a5 E) [0 B% H5 x直到五年后的 2024 年 11 月,韩国警方才正式确认该案系朝鲜黑客组织 Lazarus Group 和 Andariel 所为。调查人员通过 IP 追踪、资金流向分析,以及攻击代码中出现的朝鲜特有词汇「흘한 일」(意为「不重要」)锁定了攻击者身份。
, n/ \0 j  h8 X' C: d5 ?* [+ p' E
2 [$ r/ e+ W4 R" W2 f+ g" w# }韩国当局与美国 FBI 合作追踪资产,历经四年司法程序,最终从瑞士一家交易平台追回 4.8 枚比特币(约 6 亿韩元),并于 2024 年 10 月归还 Upbit。6 X. \# R# n2 q: ~

; \/ x" R; Y* T, C0 K不过相比被盗总额,这点追回几乎可以忽略不计。
4 L) O! j- n- h9 b/ m3 e) M
! Q& y$ A* ^+ G. W2 e· 2023:GDAC 事件9 e6 {( h  C, S
2023 年 4 月 9 日,中型交易平台 GDAC 遭遇攻击,损失约 1300 万美元——占其托管总资产的 23%。
: `4 h( j$ X6 G/ P1 m7 G# D9 N7 G) m& S" t! e2 T
被盗资产包括约 61 枚 BTC、350 枚 ETH、1000 万枚 WEMIX 代币和 22 万 USDT。黑客控制了 GDAC 的热钱包,并迅速将部分资金通过 Tornado Cash 混币器洗白。0 r- p2 c3 f1 k6 B9 U

; \" N1 ^4 y/ B$ R! W$ ~) r6 J· 2025:六年后的同一天,Upbit 再次沦陷* v/ d7 U4 W% F4 I: K) u
六年前的同一天(11 月 27 日),Upbit 曾损失 342,000 枚 ETH。
+ M8 Q" p/ c8 q, h- p
/ [8 l6 ]( D  C历史再次重演。凌晨 4:42,Upbit 的 Solana 热钱包出现异常资金流出,约 540 亿韩元(3680 万美元)的资产被转移至未知地址。
6 \% S. ]7 R5 m3 `3 A4 h- L) }& ?
- l. v! c% D, T$ W8 z" D2019 年 Upbit 事件之后,2020 年韩国正式实施《特定金融信息法》(特金法),要求所有交易平台取得 ISMS(信息安全管理体系)认证并在银行开设实名账户。大量无法达标的小型交易平台被迫退出市场,行业格局从「百所混战」收缩为少数几家巨头主导。Upbit 凭借 Kakao 系的资源背书和认证的通过,市场份额一度超过 80%。
- w: @7 `) b0 m+ W( O
$ [4 Q8 Q0 x3 f2 h8 N( x1 v但六年的合规建设,并没有让 Upbit 逃过这一劫。3 V# n% i  C5 P& A& p) W; A$ f
7 j2 o) I$ S4 r" ~5 }
截至发稿,Upbit 已宣布将用自有资产全额赔付用户损失,但关于攻击者身份和具体攻击路径,官方尚未公布详细信息。
! i! `3 R3 j1 H- ?% g; e9 o% Y# G, P) P0 T$ N: A
泡菜溢价 、国家级黑客与核武器8 O  U+ d7 R/ E% n) ?
韩国交易平台频频被盗并非单纯的技术无能,而是地缘ZZ的悲剧投影。3 u  d, x- C, g- C) x2 q$ ?

/ m- x' y0 U0 H' v/ k7 ~, w' F在一个高度中心化、流动性溢价极高且地理位置特殊的市场,韩国交易平台实际上是在用一家商业公司的安防预算,去对抗一个拥有核威慑诉求的国家级黑客部队。
5 U5 b3 }! P. @$ f5 R+ z  x* D) @2 s" j6 `6 w: m2 f' B
这支部队有个名字:Lazarus Group* J/ m5 x2 O6 `; E

- F, f8 _$ L! \  @0 a0 w. WLazarus 隶属于朝鲜侦察总局(RGB),是平壤最精锐的网络战力量之一。
9 ~7 V9 Q8 Q& N, Z
3 R! L1 R" w6 u% ?" ^+ {在转向加密货币之前,他们已经在传统金融领域证明了自己的实力。1 c+ l( g& s9 P" G) `
7 G- H* [; l5 \' y
2014 年攻破索尼影业,2016 年从孟加拉国央行盗走 8100 万美元,2017 年策划了波及 150 个国家的 WannaCry 勒索病毒。1 B2 p5 g8 z; t  p

2 a. ?8 i7 K. Q. W2017 年起,Lazarus 将目标转向加密货币领域。原因很简单:
+ l, T0 o) ]- b9 u
3 J$ D+ a- w% [0 D, w0 ^) A相比传统银行,加密货币交易平台监管更松、安全标准参差不齐,而且一旦得手,资金可以通过链上转移迅速跨境,绕开国际制裁体系。
  O& s+ d) ?7 n
& \: i' {' j9 b, i而韩国,恰好是最理想的猎场。
4 B  O: M1 B: H- Q1 u% X  m8 E" W* j5 _5 ], l
第一,韩国是地缘对抗的天然目标。对朝鲜而言,攻击韩国企业不仅能获取资金,还能在「敌国」制造混乱,一举两得。
4 O  z* {7 ]( \; h9 p9 a& P  A" f
0 u1 f5 s; {3 q( P; Q第二,泡菜溢价背后是肥美的资金池。韩国散户对加密货币的狂热举世闻名,而溢价的本质是供不应求,大量韩元涌入,追逐有限的加密资产。
) {! [" Y! [3 x8 q" V
7 i- ]. a9 \) x& }这意味着韩国交易平台的热钱包里,长期躺着远超其他市场的流动性。对黑客来说,这就是一座金矿。
" V) n* j  W! Q  c! M9 R( T
" d7 |3 K! R2 ^) }第三,语言有优势。Lazarus 的攻击并非只靠技术暴力破解。他们擅长社会工程学,比如伪造招聘信息、发送钓鱼邮件、冒充客服套取验证码。
$ V  q: X' i- `/ U1 J7 v6 n
/ S# R9 F" D. b: c. x朝韩同文同种,语言障碍为零,这让针对韩国员工和用户的定向钓鱼攻击成功率大幅提升。/ J- n9 ~4 G- @0 r; y  m

6 }* M, \/ u" g被盗的钱去哪了?这可能才是故事最有看点的部分。& l; }9 |+ k$ a' t. W
4 W6 r9 c7 P% B' `  X& g
根据联合国报告和多家区块链分析公司的追踪,Lazarus 窃取的加密货币最终流向了朝鲜的核武器和弹道导弹计划- ]' A; C' L, p* i

9 s# q0 Z! t" f- P( W6 T: l$ ?此前,路透社援引一份联合国机密报告称,朝鲜使用被盗的加密货币资金来帮助资助其导弹开发计划。
5 q; h! B# j* _! |
) [* }4 y( U- }8 x) A' h2023 年 5 月,白宫副国家安全顾问 Anne Neuberger 公开表示,朝鲜导弹计划约 50% 的资金来自网络攻击和加密货币盗窃;这一比例相比她 2022 年 7 月给出的「约三分之一」进一步上升。* P8 L9 t4 s( l4 Y

! d  y0 h9 o' [换句话说,每一次韩国交易平台被盗,都可能在间接为三八线对面的核弹头添砖加瓦。
- W; T# P. h( t1 ~* r) Z0 K( y. A
同时,洗钱路径已经相当成熟:被盗资产先通过「剥离链」技术拆分成无数小额交易,再经由混币器(如 Tornado Cash、Sinbad)混淆来源,然后通过朝鲜自建的交易平台以折扣价兑换成比特币,最后通过中俄的地下渠道兑换成法币。
' Z! J9 F5 }4 r" S5 {, W
; f# f3 b! r# C8 A2019 年 Upbit 被盗的 34.2 万枚 ETH,韩国警方正式公布调查结果显示: 57% 在疑似朝鲜运营的三家交易平台以低于市场价 2.5% 的价格兑换成比特币,剩余 43% 通过 13 个国家的 51 家交易平台洗白。整个过程历时数年,至今绝大部分资金仍未追回。7 N+ Z& q6 b0 O5 E

* M( U" d6 u: X) B" N) i这或许是韩国交易平台面临的根本困境:
" \7 K; ]3 n4 x, |
( O. _0 Z. J$ i! X8 U+ T4 M( x一边是 Lazarus,一支拥有国家资源支持、可以 24 小时轮班作业、不计成本投入的黑客部队;另一边是 Upbit、Bithumb 这样的商业公司。2 a' n/ Y, w8 A- g

" E7 R$ [$ A6 K3 c5 k6 i: h9 J即便是通过审查的头部交易平台,在面对国家级高持续性威胁攻击时,依然力不从心。3 L# x9 V) X% W, w- [' k: w
3 T8 ~$ ~. k2 Q( V) b( q
不只是韩国的问题
9 l  ]6 T' S) I; U* S八年、十余起攻击、约 2 亿美元损失,如果只把这当作韩国加密行业的本地新闻,就错过了更大的图景。
$ h* w8 C3 P; u  x) P% o  q% M. P( k7 l$ _. d+ @( Y+ q
韩国交易平台的遭遇,是加密行业与国家级对手博弈的预演。; u4 c/ B% l+ o
# q4 P( E0 y( G( ?
朝鲜是最显眼的玩家,但不是唯一的玩家。俄罗斯某些高威胁攻击组织被指与多起 DeFi 攻击存在关联,伊朗黑客曾针对以色列加密公司发动攻击,朝鲜自己也早已把战场从韩国扩展到全球,比如 2025 年 Bybit 的 15 亿美元、2022 年 Ronin 的 6.25 亿美元,受害者遍布各大洲。2 ?* t. ^, ], E7 z

: a4 C! |8 C* E: P$ v; m0 V5 A3 ?
6 M3 \2 X/ [# ~加密行业有一个结构性矛盾,即一切必须经过中心化的入口。' V/ O' R2 B) g7 g& q9 _
. G2 C" N6 O( M, [) W
无论链本身多么安全,用户的资产终究要通过交易平台、跨链桥、热钱包这些「咽喉要道」流动。
( c, ~" Y# c. y
/ J2 d! ^' q, x. ]7 s! {这些节点集中了海量资金,却由预算有限的商业公司运营;对国家级黑客而言,这是效率极高的狩猎场# T1 k+ `) q4 j4 I

* D7 ~' K% q( K; y7 U攻防双方的资源从根本上不对等,Lazarus 可以失败一百次,交易平台只能失败一次。
, W, R: B  ^$ ]6 |7 Z+ |6 }
! R: B1 S6 s" T泡菜溢价还会继续吸引全球套利者和本土散户,Lazarus 不会因为被bao光而停手,韩国交易平台与国家级黑客的攻防战远未结束。
8 u; o' \) i8 V9 R+ c) R
7 E5 Q4 [1 U4 t- r. A) ~0 ~" k只是希望下一次被盗的,不是你自己的钱。, q5 t8 @7 X) ]: _% h' R; s$ V
& N' ], A1 t& ?0 U1 R
1 H6 r% y1 P: u

* _9 b. O' N3 c! H9 R: G! L+ A; ^, g2 X) ?% S* Y+ ?
5 ~! J, n; D# z- T1 C  g3 h, n! k
2 ?3 m8 I9 O5 o' e
* I  L$ L) U  e( H0 `* N8 g
作者: 22301    时间: 2025-11-28 07:49
这个被盗了也是很无奈的事情了。
作者: 赚钱小样    时间: 2025-11-28 10:44
这个核心方面也是很重要的啦。
作者: whywhy    时间: 2025-11-28 14:46
又是盗币事件,Upbit 运气真糟糕,540 亿韩元不是小数目啊
作者: rainwang    时间: 2025-11-28 15:25
如此特别的结果,看来真的是有意思了
作者: 垂钓园    时间: 2025-11-28 18:37
这操作太狠了,连SPL代币都不放过,Upbit真是躺枪啊
作者: 爱美的女人    时间: 2025-11-28 21:08
再次被盗也是没有太安全了
作者: 右耳    时间: 2025-11-29 12:59
Upbit这平台真够背,又双叒叕被盯上了,这回损失也太大了
作者: 舞出精彩    时间: 2025-11-29 14:19
那是要在看是什么样的先吧
作者: 小作文    时间: 2025-11-30 13:34
六年前就中过招,Upbit这风控是真让人心累,大额提现还是冷钱包靠谱点
作者: g9527    时间: 2025-12-1 21:42
又是Upbit被盗,这安全漏洞也太吓人了
作者: 德罗星    时间: 2025-12-3 18:28
很是非常的转载的情况的啊。



欢迎光临 优惠论坛 (http://tcelue.ws/) Powered by Discuz! X3.1