优惠论坛

标题: 六年后同一天再次被盗:Upbit成韩朝「链上战场」核心(转) [打印本页]
作者: caoch    时间: 2025-11-28 00:19
标题: 六年后同一天再次被盗:Upbit成韩朝「链上战场」核心(转)
市场反弹了,但交易平台又被盗了。3 {, B. {4 C. M+ ]. J& M: l) k! L- P
) x* V5 J2 w3 a! Z# `4 D- ]2 M. U
11 月 27 日,韩国最大的加密货币交易平台 Upbit 确认发生安全漏洞,导致价值约 540 亿韩元(约 3680 万美元)的资产流失。. v! V2 E* y" W

7 v$ N5 [  k  n/ Y* B+ g首尔时间 11 月 27 日凌晨 04:42(KST),当大多数韩国交易员还在沉睡时,Upbit 的 Solana 热钱包地址出现了异常的大规模资金流出。
. D; f' a1 v4 m0 o" ^! f+ L
4 J8 k9 m6 N6 I据慢雾等安全机构的链上监测数据,攻击者并未采取单一资产转移的方式,而是对 Upbit 在 Solana 链上的资产进行了「清空式」掠夺。. T4 l8 k; [. g1 W
7 Y# T) L& W2 }& _- E4 V
被盗资产不仅包含核心代币 SOL 和稳定币 USDC,还覆盖了 Solana 生态内几乎所有主流的 SPL 标准代币。
5 Q$ T$ @4 f# ~% i$ g3 W9 q' w/ y+ n! S
$ x  C2 {# h& [; a
被盗资产清单(部分):
0 U6 {1 {  ?+ c2 k, G1 ~  ?
8 J6 e3 I- q  @! W& s· DeFi/基础设施类:JUP (Jupiter), RAY (Raydium), PYTH (Pyth Network), JTO (Jito), RENDER, IO 等。$ P" J  v8 \% X9 B

+ D' A1 R: p( z! f% ]  R4 e· Meme/社区类:BONK, WIF, MOODENG, PENGU, MEW, TRUMP 等。
- @0 j0 x% q% j# j  L: e% c; I& q6 U+ z
· 其他项目:ACS, DRIFT, ZETA, SONIC 等。- A( m: m. a! G9 m2 y6 b

- M5 Z, S9 r3 c  c0 H这种一锅端的特征表明,攻击者极有可能获取了 Upbit 负责 Solana 生态热钱包的私钥权限,或者是签名服务器(Signing Server)遭到了直接控制,导致其能够对该钱包下的所有 SPL 代币进行授权转移。4 c# O6 e9 b/ _

2 ?8 m! h! Q; k( c% W* P7 N) [! K  D对于 Upbit 这家占据韩国 80% 市场份额、以拥有韩国互联网振兴院(KISA)最高安全等级认证为傲的巨头来说,这无疑是一次惨痛的「破防」。6 e" S4 h- Z& r1 n" M

, {5 D  ?. K$ {& @不过,这也不是韩国交易平台第一次被盗了。6 D, p* y1 |' a& a5 f. ]* ]
& }( d! q, O- f6 X4 N1 y1 ]
如果将时间轴拉长,我们会发现韩国加密市场在过去八年里,实际上一直在被黑客,尤其是朝鲜黑客光顾。) V; q3 P4 B2 X8 }
6 Q  s1 O( x3 Q  n1 {. n# Z  R! Z
韩国加密市场,不仅是全球最疯狂的散户赌场,也是北朝鲜黑客最顺手的「提款机」。
& Z6 h5 p1 @7 k2 H7 V6 k) E  }. R+ l" k% q( r+ F) v3 r9 `# h
八年朝韩攻防,被盗编年史
3 J! {- ?  o3 e0 _$ ^从早期的暴力破解到后来的社会工程学渗透,攻击手段不断进化,韩国交易平台的受难史也随之延长。; b7 D  p) n! D& V7 U% y6 a, a
, C7 W& W- W5 y1 v
累计损失:约 2 亿美元(按被盗时价格;若按当前价格计算超过 12 亿美元,其中仅 2019 年 Upbit 被盗的 34.2 万枚 ETH 现值已超 10 亿美元)7 i/ ]. o2 x% s3 X% W6 h

4 t5 B5 b2 h& }  x: ]3 ^- k· 2017:蛮荒时代,黑客从员工电脑下手5 }6 N' s/ j+ D7 S  o& R! k" \
2017 年是加密牛市的起点,也是韩国交易平台噩梦的开始。
' [! ~; J4 G2 k/ g! @* q3 S( E' z  }8 _9 l$ ?, P2 m
这一年,韩国最大的交易平台 Bithumb 率先「中招」。6 月,黑客入侵了一名 Bithumb 员工的个人电脑,窃取了约 31,000 名用户的个人信息,随后利用这些数据对用户发起定向钓鱼攻击,卷走约 3200 万美元。事后调查发现,员工电脑上存储着未加密的客户数据,公司甚至没有安装基本的安全更新软件。
6 J+ _! s/ H8 m8 d# U+ X9 |' ~- r7 ?9 D7 v
这暴露了当时韩国交易平台安全管理的草台状态,连「不要在私人电脑存客户数据」这种常识都没有建立。+ h0 \4 s$ T# U1 T
$ G2 ~7 G  ^: {
更具标志性意义的是中型交易平台 Youbit 的覆灭。这家交易平台在一年内遭受了两次毁灭性打击:4 月份丢失近 4000 枚比特币(约 500 万美元),12 月再次被盗走 17% 的资产。不堪重负的 Youbit 宣布破产,用户只能先提取 75% 的余额,剩余部分需等待漫长的破产清算。
# {* Y* m6 ~% Q( ?, h$ n( B, o. F% ?' k. l
Youbit 事件后,韩国互联网安全局(KISA)首次公开指控朝鲜是幕后黑手。这也向市场发出了一个信号:: R+ ^+ G! D  m, S- t- a' S5 G
, I5 g1 k# E) F- H' X, M8 U$ a
交易平台面对的不再是普通网络窃贼,而是有着地缘ZZ目的的国家级黑客组织。0 i# o, j1 [0 s+ P

; _8 O. q" y# b8 r& i5 Y· 2018:热钱包大劫案8 k7 P5 `8 W/ @+ c# U' S
2018 年 6 月,韩国市场经历了连续重创。
; `4 q0 q3 P( }9 [) P3 o. m/ d6 M9 y  `
6 月 10 日,中型交易平台 Coinrail 遭遇袭击,损失超过 4000 万美元。与此前不同,这次黑客主要掠夺的是当时火热的 ICO 代币(如 Pundi X 的 NPXS),而非比特币或以太坊。消息传出后,比特币价格短时暴跌超过 10%,整个加密市场在两天内蒸发超过 400 亿美元市值。& d7 y" B+ r& i* ^0 Z9 K) E8 a
' A. a) ^5 ~5 o6 ~; T* z9 a, z1 J
仅仅十天后,韩国头部交易平台 Bithumb 也宣告失守,热钱包被盗走约 3100 万美元的 XRP 等代币。讽刺的是,攻击发生前几天,Bithumb 刚在推特上宣布正在「将资产转移至冷钱包以升级安全系统」。+ J. F8 Q* o. h- y  G8 E# Z) O
9 T" V# D3 `3 ]& f
这是 Bithumb 一年半内第三次被黑客「光顾」。) i7 j: X0 [! \( c! B9 r
+ s" W/ n3 W  P$ A$ \
「连环爆雷」严重打击了市场信心。事后,韩国科技部对国内 21 家交易平台进行安全审查,结果显示只有 7 家通过全部 85 项检查,剩余 14 家「随时可能暴露于黑客攻击风险中」,其中 12 家在冷钱包管理方面存在严重漏洞。3 X0 C4 ]3 B' Z+ }& R- a5 ^$ s

" ?" C. J: N: g  x+ ^7 \· 2019:Upbit 的 342,000 枚 ETH 被盗
$ G- t! h: {7 z2019 年 11 月 27 日,韩国最大交易平台 Upbit 遭遇了当时国内史上最大规模的单笔盗窃。6 p" h* q4 L5 @& d$ a& H. G
4 r5 O; l5 P; L
黑客利用交易平台整理钱包的间隙,单笔转走了 342,000 枚 ETH。他们没有立即砸盘,而是通过「剥离链」(Peel Chain)技术,将资金拆解成无数笔小额交易,层层转移,最终流入数十家非 KYC 交易平台和混币器。
! o5 e2 x4 h* h. O" U
! d$ h: j1 S4 |: E调查显示,57% 的被盗 ETH 以低于市场价 2.5% 的折扣在疑似朝鲜运营的交易平台兑换成比特币,剩余 43% 通过 13 个国家的 51 家交易平台洗白。8 g" l( X9 X  i6 @. f

  t5 S" Z3 z: k) C+ G直到五年后的 2024 年 11 月,韩国警方才正式确认该案系朝鲜黑客组织 Lazarus Group 和 Andariel 所为。调查人员通过 IP 追踪、资金流向分析,以及攻击代码中出现的朝鲜特有词汇「흘한 일」(意为「不重要」)锁定了攻击者身份。1 Q: L7 S$ Z  A& D
- {2 L, G5 R' u! ^# n; c  z8 B
韩国当局与美国 FBI 合作追踪资产,历经四年司法程序,最终从瑞士一家交易平台追回 4.8 枚比特币(约 6 亿韩元),并于 2024 年 10 月归还 Upbit。4 |# Q  d; y  C$ C* G$ L1 }2 I2 [1 o- m
* C4 E4 j4 c6 x" b8 z
不过相比被盗总额,这点追回几乎可以忽略不计。
: S. d0 p; n1 O$ ]2 t" ?: _
' b" ?& j4 W  i1 c3 ]% w· 2023:GDAC 事件5 x0 I) s0 O! p& Y6 K6 Q
2023 年 4 月 9 日,中型交易平台 GDAC 遭遇攻击,损失约 1300 万美元——占其托管总资产的 23%。) ~  E) R2 o: }3 H" ~

" O; X* ^8 ]- K; n+ W被盗资产包括约 61 枚 BTC、350 枚 ETH、1000 万枚 WEMIX 代币和 22 万 USDT。黑客控制了 GDAC 的热钱包,并迅速将部分资金通过 Tornado Cash 混币器洗白。
: W5 X: w) o* w- L6 T. }$ ~. L$ c9 U! }4 U7 r) z
· 2025:六年后的同一天,Upbit 再次沦陷6 \# w5 x& m# k4 c! d# p
六年前的同一天(11 月 27 日),Upbit 曾损失 342,000 枚 ETH。
# K* `8 J# v. C  Q; G* n+ b; U! c( m+ d) K) r
历史再次重演。凌晨 4:42,Upbit 的 Solana 热钱包出现异常资金流出,约 540 亿韩元(3680 万美元)的资产被转移至未知地址。+ c' F+ \' Y! j; T7 s

3 B) \! S4 n$ L( w$ h& s2019 年 Upbit 事件之后,2020 年韩国正式实施《特定金融信息法》(特金法),要求所有交易平台取得 ISMS(信息安全管理体系)认证并在银行开设实名账户。大量无法达标的小型交易平台被迫退出市场,行业格局从「百所混战」收缩为少数几家巨头主导。Upbit 凭借 Kakao 系的资源背书和认证的通过,市场份额一度超过 80%。8 ]7 Y" V5 ?5 O& {( ^9 D9 ]
' x% {4 |* p  F
但六年的合规建设,并没有让 Upbit 逃过这一劫。
3 @; w1 A4 k$ Q' g- L6 Q
# t* i$ Z2 N, J& f( D% d截至发稿,Upbit 已宣布将用自有资产全额赔付用户损失,但关于攻击者身份和具体攻击路径,官方尚未公布详细信息。2 m4 n1 @7 r# [# y/ R& e& j/ H

, S0 \. [3 }  v) C. b2 S( g1 L泡菜溢价 、国家级黑客与核武器4 {% l& f* Y2 M+ \4 G
韩国交易平台频频被盗并非单纯的技术无能,而是地缘ZZ的悲剧投影。
4 s0 h6 r" [; `7 k. u* ]+ U# \. W  l; f( I( a& w
在一个高度中心化、流动性溢价极高且地理位置特殊的市场,韩国交易平台实际上是在用一家商业公司的安防预算,去对抗一个拥有核威慑诉求的国家级黑客部队。
' O! Y; `/ e$ q* L
; p0 S! q/ }7 j' o( f& ~这支部队有个名字:Lazarus Group% e9 c" ^  }3 ]! l2 P; @8 _$ C
! G' W  g7 Y. C" p+ O3 A8 k, n
Lazarus 隶属于朝鲜侦察总局(RGB),是平壤最精锐的网络战力量之一。( H! B1 a. s* H
/ r) E3 H* Q" ]+ x/ h: d; G
在转向加密货币之前,他们已经在传统金融领域证明了自己的实力。% c: @& R( v7 I& W* t- y

! u4 x3 P& F6 ?. l# H3 z2014 年攻破索尼影业,2016 年从孟加拉国央行盗走 8100 万美元,2017 年策划了波及 150 个国家的 WannaCry 勒索病毒。; d! P9 S! ?: k* |7 y* k
/ }) g+ S  V6 [* J) f: e8 R! `+ ^8 O( N
2017 年起,Lazarus 将目标转向加密货币领域。原因很简单:
( X& Y9 `/ f# p" \8 r( e# X& g4 D  y% m5 J1 u
相比传统银行,加密货币交易平台监管更松、安全标准参差不齐,而且一旦得手,资金可以通过链上转移迅速跨境,绕开国际制裁体系。1 `6 P% O# D/ }; q/ _( N: H4 }

( x* R" e7 S% A# x) O4 x而韩国,恰好是最理想的猎场。
* a1 t: w  j/ [( c& W6 I9 j+ m9 w/ [% N8 w8 _
第一,韩国是地缘对抗的天然目标。对朝鲜而言,攻击韩国企业不仅能获取资金,还能在「敌国」制造混乱,一举两得。7 N) P$ i5 [' k" e, _" j- @
+ f% h, H. Q5 R
第二,泡菜溢价背后是肥美的资金池。韩国散户对加密货币的狂热举世闻名,而溢价的本质是供不应求,大量韩元涌入,追逐有限的加密资产。% d+ h, i$ V- y5 E" B! e6 |! \
1 K4 s. H! u4 m& ~* K1 ^
这意味着韩国交易平台的热钱包里,长期躺着远超其他市场的流动性。对黑客来说,这就是一座金矿。
, }: l( G) e1 P1 c
' i& [% l8 Y2 g! i' t9 e+ R第三,语言有优势。Lazarus 的攻击并非只靠技术暴力破解。他们擅长社会工程学,比如伪造招聘信息、发送钓鱼邮件、冒充客服套取验证码。
5 c! S3 t8 J# \2 b8 Z" e$ ]1 G) l* O; a5 l5 E! M
朝韩同文同种,语言障碍为零,这让针对韩国员工和用户的定向钓鱼攻击成功率大幅提升。
0 _  |4 ?" G( |
) F! }* Q$ Z8 |0 k8 z3 V5 Q被盗的钱去哪了?这可能才是故事最有看点的部分。
3 \; j! x$ t- N3 {, J
1 E. l3 D4 d* B+ u4 F根据联合国报告和多家区块链分析公司的追踪,Lazarus 窃取的加密货币最终流向了朝鲜的核武器和弹道导弹计划3 {$ U9 L2 m2 y" D) o/ ~2 b7 F
* l* M9 F% F* v0 h* ^  R2 I
此前,路透社援引一份联合国机密报告称,朝鲜使用被盗的加密货币资金来帮助资助其导弹开发计划。+ I3 e2 W& C' x" E& H; f

8 t+ C* ]3 e% Y' M2023 年 5 月,白宫副国家安全顾问 Anne Neuberger 公开表示,朝鲜导弹计划约 50% 的资金来自网络攻击和加密货币盗窃;这一比例相比她 2022 年 7 月给出的「约三分之一」进一步上升。
- L5 Z! S3 X% G: q, ]  C( `2 O1 {
1 O0 u* e& P8 w换句话说,每一次韩国交易平台被盗,都可能在间接为三八线对面的核弹头添砖加瓦。
9 ~9 h7 x% K9 U6 i) U- G" g& Q6 g6 O4 H2 c
同时,洗钱路径已经相当成熟:被盗资产先通过「剥离链」技术拆分成无数小额交易,再经由混币器(如 Tornado Cash、Sinbad)混淆来源,然后通过朝鲜自建的交易平台以折扣价兑换成比特币,最后通过中俄的地下渠道兑换成法币。
' t6 E3 a. R- T+ k0 Y2 `6 H0 t1 D0 w! F! c# N# j
2019 年 Upbit 被盗的 34.2 万枚 ETH,韩国警方正式公布调查结果显示: 57% 在疑似朝鲜运营的三家交易平台以低于市场价 2.5% 的价格兑换成比特币,剩余 43% 通过 13 个国家的 51 家交易平台洗白。整个过程历时数年,至今绝大部分资金仍未追回。' ]0 k) @# x# M1 d5 }  V
! z! x- x* q& B, U5 P3 \
这或许是韩国交易平台面临的根本困境:
: c8 |# p3 k- S# X1 @! r& Q. }6 t8 A/ n  u1 Q/ E, q  b, y0 L% S" ?: }1 i
一边是 Lazarus,一支拥有国家资源支持、可以 24 小时轮班作业、不计成本投入的黑客部队;另一边是 Upbit、Bithumb 这样的商业公司。
. e& \, S$ d: T2 F: D: E. l, j& ]9 P7 c' {! I  n4 {
即便是通过审查的头部交易平台,在面对国家级高持续性威胁攻击时,依然力不从心。
" f7 f% E8 Y- `1 {, v0 o1 I
0 E$ F; _1 N: V: G6 ^不只是韩国的问题/ ^- H. J- n- G. ~0 {
八年、十余起攻击、约 2 亿美元损失,如果只把这当作韩国加密行业的本地新闻,就错过了更大的图景。
1 h& D& v4 a3 _" x; J9 l# r. G3 ~6 A% O
韩国交易平台的遭遇,是加密行业与国家级对手博弈的预演。1 ~9 l# X' }" V% w0 b+ E) Q
  K" _, M) x3 p# x$ A
朝鲜是最显眼的玩家,但不是唯一的玩家。俄罗斯某些高威胁攻击组织被指与多起 DeFi 攻击存在关联,伊朗黑客曾针对以色列加密公司发动攻击,朝鲜自己也早已把战场从韩国扩展到全球,比如 2025 年 Bybit 的 15 亿美元、2022 年 Ronin 的 6.25 亿美元,受害者遍布各大洲。/ A- `( J1 Z. z) B7 o

- C! H0 I$ @6 a
: ^4 e7 a* R" p# e5 V- j- @加密行业有一个结构性矛盾,即一切必须经过中心化的入口。& |* r" t. g# J0 y
- [$ B4 Z7 d9 x
无论链本身多么安全,用户的资产终究要通过交易平台、跨链桥、热钱包这些「咽喉要道」流动。
9 v8 I* y1 o  ~- _: [: T8 H. {* z$ R5 |7 y
这些节点集中了海量资金,却由预算有限的商业公司运营;对国家级黑客而言,这是效率极高的狩猎场
* @% N" U. g3 E! T7 w+ B% N2 |, W- q# _! R
攻防双方的资源从根本上不对等,Lazarus 可以失败一百次,交易平台只能失败一次。
$ w- \( `0 E$ F- s, w- M/ k1 {& \; K4 x& J6 z, D, G" n
泡菜溢价还会继续吸引全球套利者和本土散户,Lazarus 不会因为被bao光而停手,韩国交易平台与国家级黑客的攻防战远未结束。4 Q) W7 H9 S. ?# Y! G/ P2 N' I" w9 u
* Z) p- p4 d0 p- v: Z& J
只是希望下一次被盗的,不是你自己的钱。& r' H4 O- x2 i+ c! Q, R
7 f' E+ {, Q/ ?/ [* [1 |
; e  @& Z  b0 |$ s! g1 N8 a
" X! f" w# d* O* H! t! Y8 g
/ ~6 M1 q- T: l) q+ C5 P/ h! r3 ?5 `5 o

& S, x; b: K3 I+ f$ Z! `+ i3 M+ x/ P: r) D/ J

/ F2 J; Y  `7 a. i* h- E! N3 H, b
作者: 22301    时间: 2025-11-28 07:49
这个被盗了也是很无奈的事情了。
作者: 赚钱小样    时间: 2025-11-28 10:44
这个核心方面也是很重要的啦。
作者: whywhy    时间: 2025-11-28 14:46
又是盗币事件,Upbit 运气真糟糕,540 亿韩元不是小数目啊
作者: rainwang    时间: 2025-11-28 15:25
如此特别的结果,看来真的是有意思了
作者: 垂钓园    时间: 2025-11-28 18:37
这操作太狠了,连SPL代币都不放过,Upbit真是躺枪啊
作者: 爱美的女人    时间: 2025-11-28 21:08
再次被盗也是没有太安全了



欢迎光临 优惠论坛 (http://www.tcelue.ws/) Powered by Discuz! X3.1