优惠论坛

标题: 六年后同一天再次被盗:Upbit成韩朝「链上战场」核心(转) [打印本页]
作者: caoch    时间: 2025-11-28 00:19
标题: 六年后同一天再次被盗:Upbit成韩朝「链上战场」核心(转)
市场反弹了,但交易平台又被盗了。$ y/ Y0 e3 m% d) @) w+ K
7 g; j! s+ G3 e& O2 l) [
11 月 27 日,韩国最大的加密货币交易平台 Upbit 确认发生安全漏洞,导致价值约 540 亿韩元(约 3680 万美元)的资产流失。
) O! Q1 P9 ~, G( g/ ?( B0 L
3 B' b* S2 I3 V9 z% S( z9 Q首尔时间 11 月 27 日凌晨 04:42(KST),当大多数韩国交易员还在沉睡时,Upbit 的 Solana 热钱包地址出现了异常的大规模资金流出。
/ ^/ G+ d- h- B
* ^* L% ^# h( _据慢雾等安全机构的链上监测数据,攻击者并未采取单一资产转移的方式,而是对 Upbit 在 Solana 链上的资产进行了「清空式」掠夺。% |! w# ^  i4 H; N6 w3 X+ b
) j% T: `' M  Y+ ?
被盗资产不仅包含核心代币 SOL 和稳定币 USDC,还覆盖了 Solana 生态内几乎所有主流的 SPL 标准代币。+ k. F( ~+ |% N/ _8 K

2 I& U/ b) T1 J- x! S2 X* S9 J) r7 ~& m' l; k5 Z0 O4 R( N
被盗资产清单(部分):
9 k0 {9 ?, C; N1 ~/ s( N% |+ B! z7 @2 Z, ^
· DeFi/基础设施类:JUP (Jupiter), RAY (Raydium), PYTH (Pyth Network), JTO (Jito), RENDER, IO 等。
- x9 E. ]7 m: J* L
- p2 w5 X$ X: K. X6 n· Meme/社区类:BONK, WIF, MOODENG, PENGU, MEW, TRUMP 等。
9 e1 `/ [5 I/ N5 w0 O! Z' {: F# ]7 N% u, s% l
· 其他项目:ACS, DRIFT, ZETA, SONIC 等。7 r3 ~! s6 j& q! R9 f

' Z+ R" x  T9 U( C& _# [这种一锅端的特征表明,攻击者极有可能获取了 Upbit 负责 Solana 生态热钱包的私钥权限,或者是签名服务器(Signing Server)遭到了直接控制,导致其能够对该钱包下的所有 SPL 代币进行授权转移。- c/ @$ U/ L3 u0 `: {/ V
, f8 w6 X5 A% p  Q4 l& V
对于 Upbit 这家占据韩国 80% 市场份额、以拥有韩国互联网振兴院(KISA)最高安全等级认证为傲的巨头来说,这无疑是一次惨痛的「破防」。1 U, V0 P- x2 O; C1 t
' x0 k; }- H4 ]
不过,这也不是韩国交易平台第一次被盗了。
( F8 D: c% C6 U. W) W# i
5 k' }3 i* W1 W5 G% Q+ S如果将时间轴拉长,我们会发现韩国加密市场在过去八年里,实际上一直在被黑客,尤其是朝鲜黑客光顾。3 c- X" G) d" t. T" a8 \; q8 v* S

! `2 u+ F- M+ g, A韩国加密市场,不仅是全球最疯狂的散户赌场,也是北朝鲜黑客最顺手的「提款机」。
& }; P9 V1 P2 v1 G% p$ K# v
! W; \2 i1 g, v5 G5 Q' l; I) o八年朝韩攻防,被盗编年史
& a; g, X& P1 G" {0 ]) L从早期的暴力破解到后来的社会工程学渗透,攻击手段不断进化,韩国交易平台的受难史也随之延长。
4 r: I, E" r% l# {5 i- b
" a$ N2 P4 E( x/ f9 x$ T7 n, N: L8 F累计损失:约 2 亿美元(按被盗时价格;若按当前价格计算超过 12 亿美元,其中仅 2019 年 Upbit 被盗的 34.2 万枚 ETH 现值已超 10 亿美元). ^5 R* s* E' e7 v' d' `1 ^

) T" f' G6 n' }· 2017:蛮荒时代,黑客从员工电脑下手
8 ~1 q+ Z% |8 |/ x# B2017 年是加密牛市的起点,也是韩国交易平台噩梦的开始。
* c3 e* i4 f5 F- {' ^/ R% B* A
; h& G# @8 N/ \; b6 \3 I9 f这一年,韩国最大的交易平台 Bithumb 率先「中招」。6 月,黑客入侵了一名 Bithumb 员工的个人电脑,窃取了约 31,000 名用户的个人信息,随后利用这些数据对用户发起定向钓鱼攻击,卷走约 3200 万美元。事后调查发现,员工电脑上存储着未加密的客户数据,公司甚至没有安装基本的安全更新软件。  i( j1 n# s5 j) H
  Y) a; M' f1 A, n: L/ i) R
这暴露了当时韩国交易平台安全管理的草台状态,连「不要在私人电脑存客户数据」这种常识都没有建立。
$ A+ [# [  C  y( }8 [1 D: k8 h, i. `' U; t
更具标志性意义的是中型交易平台 Youbit 的覆灭。这家交易平台在一年内遭受了两次毁灭性打击:4 月份丢失近 4000 枚比特币(约 500 万美元),12 月再次被盗走 17% 的资产。不堪重负的 Youbit 宣布破产,用户只能先提取 75% 的余额,剩余部分需等待漫长的破产清算。7 k. t/ l# Z. x- i/ o3 |/ T

2 O& m! C' ~/ r$ N3 y6 E! O+ |. RYoubit 事件后,韩国互联网安全局(KISA)首次公开指控朝鲜是幕后黑手。这也向市场发出了一个信号:
- ~: F* e( C9 i1 C
3 p& d" K: v; l( H交易平台面对的不再是普通网络窃贼,而是有着地缘ZZ目的的国家级黑客组织。# B) n# j. ?4 c7 p2 b, R3 L5 z
2 R" ]5 l/ Z. _; S
· 2018:热钱包大劫案
% `3 g& d7 c' x2018 年 6 月,韩国市场经历了连续重创。
# ^0 n) \% {4 M6 R+ O1 W
! a: F$ z7 C/ c6 月 10 日,中型交易平台 Coinrail 遭遇袭击,损失超过 4000 万美元。与此前不同,这次黑客主要掠夺的是当时火热的 ICO 代币(如 Pundi X 的 NPXS),而非比特币或以太坊。消息传出后,比特币价格短时暴跌超过 10%,整个加密市场在两天内蒸发超过 400 亿美元市值。- Z8 k. s( D% }+ t# \" T. B1 i: D, v

* T1 r/ W# r5 H* f, y6 q4 R+ M仅仅十天后,韩国头部交易平台 Bithumb 也宣告失守,热钱包被盗走约 3100 万美元的 XRP 等代币。讽刺的是,攻击发生前几天,Bithumb 刚在推特上宣布正在「将资产转移至冷钱包以升级安全系统」。
& i2 X9 J( p- _0 }# F. j' h( _. P: D  d8 E% E2 g0 I
这是 Bithumb 一年半内第三次被黑客「光顾」。2 t& Z5 @8 m' S
: Y8 M3 C9 P/ h" J) ?" q8 E
「连环爆雷」严重打击了市场信心。事后,韩国科技部对国内 21 家交易平台进行安全审查,结果显示只有 7 家通过全部 85 项检查,剩余 14 家「随时可能暴露于黑客攻击风险中」,其中 12 家在冷钱包管理方面存在严重漏洞。/ k! T+ _$ Y8 G, u5 Y4 d

* ~3 o- i  o" Y· 2019:Upbit 的 342,000 枚 ETH 被盗) l; u% [6 n7 U7 X: l. M: X) O; I& }
2019 年 11 月 27 日,韩国最大交易平台 Upbit 遭遇了当时国内史上最大规模的单笔盗窃。5 {! q' w+ z# x$ L3 t: C. a
0 O$ v" L9 H4 u$ s' v( O! J
黑客利用交易平台整理钱包的间隙,单笔转走了 342,000 枚 ETH。他们没有立即砸盘,而是通过「剥离链」(Peel Chain)技术,将资金拆解成无数笔小额交易,层层转移,最终流入数十家非 KYC 交易平台和混币器。6 D" `8 {. r/ m4 ]

+ P7 q' t# m2 p, l+ j调查显示,57% 的被盗 ETH 以低于市场价 2.5% 的折扣在疑似朝鲜运营的交易平台兑换成比特币,剩余 43% 通过 13 个国家的 51 家交易平台洗白。
$ b/ D+ H/ ]  I+ n
1 P, b1 L" q4 ~2 u! g7 w* v9 ~8 ~直到五年后的 2024 年 11 月,韩国警方才正式确认该案系朝鲜黑客组织 Lazarus Group 和 Andariel 所为。调查人员通过 IP 追踪、资金流向分析,以及攻击代码中出现的朝鲜特有词汇「흘한 일」(意为「不重要」)锁定了攻击者身份。5 J) [- g0 o7 z6 @

# u1 v8 ]8 a5 w& ~2 `5 X- ~韩国当局与美国 FBI 合作追踪资产,历经四年司法程序,最终从瑞士一家交易平台追回 4.8 枚比特币(约 6 亿韩元),并于 2024 年 10 月归还 Upbit。( F  v( U0 k, g, P
  ?4 a" E$ I$ S! s- R) b
不过相比被盗总额,这点追回几乎可以忽略不计。
/ S5 k7 C; x) Z3 M9 I, M* C- Y/ C9 t( t) T; b
· 2023:GDAC 事件
- V$ i5 O5 J0 ]! Q- O( _  Y2023 年 4 月 9 日,中型交易平台 GDAC 遭遇攻击,损失约 1300 万美元——占其托管总资产的 23%。# m  q+ ]/ U$ e
; D3 ?' F  I* p& L8 O; ]4 Q3 y
被盗资产包括约 61 枚 BTC、350 枚 ETH、1000 万枚 WEMIX 代币和 22 万 USDT。黑客控制了 GDAC 的热钱包,并迅速将部分资金通过 Tornado Cash 混币器洗白。& S3 V1 c$ I, M# p  g& g% }
0 k+ g8 h7 b" B; h) @
· 2025:六年后的同一天,Upbit 再次沦陷
0 z$ }; G' B6 u0 E; n/ O六年前的同一天(11 月 27 日),Upbit 曾损失 342,000 枚 ETH。) ?3 q: h! G) L

) V% Q2 D: p# n# n# h4 ~; o历史再次重演。凌晨 4:42,Upbit 的 Solana 热钱包出现异常资金流出,约 540 亿韩元(3680 万美元)的资产被转移至未知地址。
/ f2 H1 h' b* ]. X4 Q( S
6 G1 I# z; U! a) Z) w2019 年 Upbit 事件之后,2020 年韩国正式实施《特定金融信息法》(特金法),要求所有交易平台取得 ISMS(信息安全管理体系)认证并在银行开设实名账户。大量无法达标的小型交易平台被迫退出市场,行业格局从「百所混战」收缩为少数几家巨头主导。Upbit 凭借 Kakao 系的资源背书和认证的通过,市场份额一度超过 80%。( m: l; G  R- q$ C
- e5 ~3 }6 x% V8 O$ {7 J9 G6 {5 t7 z% j
但六年的合规建设,并没有让 Upbit 逃过这一劫。
, C& q. \! H3 D; V; Z: M; X1 V& H' b9 \7 Z1 }1 {/ o2 [' ]- ?
截至发稿,Upbit 已宣布将用自有资产全额赔付用户损失,但关于攻击者身份和具体攻击路径,官方尚未公布详细信息。$ `' e$ I  }" H( j4 J/ V
; Q9 A- T  R* G9 P8 V
泡菜溢价 、国家级黑客与核武器9 O% V$ [% t8 m7 R6 A/ X
韩国交易平台频频被盗并非单纯的技术无能,而是地缘ZZ的悲剧投影。
; O& q0 \2 g. ]6 X/ o
" t; U% S2 d4 \4 m在一个高度中心化、流动性溢价极高且地理位置特殊的市场,韩国交易平台实际上是在用一家商业公司的安防预算,去对抗一个拥有核威慑诉求的国家级黑客部队。
; p: ~: ]  f0 y  W$ R7 S5 }" u& N( A7 _1 E" R7 {9 k5 Q
这支部队有个名字:Lazarus Group/ Y( u# @( e6 [+ J: c' V7 O
  K  E8 [/ h' D! p/ U! S. t
Lazarus 隶属于朝鲜侦察总局(RGB),是平壤最精锐的网络战力量之一。
, U) w+ n& ?8 Z2 |5 H% I6 v* T2 Z3 O' J! \+ L7 ^( I  d
在转向加密货币之前,他们已经在传统金融领域证明了自己的实力。
* C0 j3 o5 G, A+ T% E4 A1 C* p* R+ H* y2 b6 A& [! E6 k# b
2014 年攻破索尼影业,2016 年从孟加拉国央行盗走 8100 万美元,2017 年策划了波及 150 个国家的 WannaCry 勒索病毒。
4 E2 g4 h" U- O) @& X5 c* Z
$ a3 r. g1 O0 I( |6 x* j  @* k- k% Y2017 年起,Lazarus 将目标转向加密货币领域。原因很简单:6 D1 Q# A9 W( L  [7 K9 ^4 {
, N) X5 R9 {3 s, L4 v, e! z
相比传统银行,加密货币交易平台监管更松、安全标准参差不齐,而且一旦得手,资金可以通过链上转移迅速跨境,绕开国际制裁体系。4 x6 g0 v2 Z) k- a) `8 I: o# R; _
9 C. U& Q; r% a, `, G
而韩国,恰好是最理想的猎场。
+ j/ M, ]- o8 l* v* h, P, D
0 _  ]0 e+ ?' O! _6 z0 ^第一,韩国是地缘对抗的天然目标。对朝鲜而言,攻击韩国企业不仅能获取资金,还能在「敌国」制造混乱,一举两得。5 z1 t7 g) F& \0 J
% ^+ t7 r) w$ L* u9 T/ y: \1 `
第二,泡菜溢价背后是肥美的资金池。韩国散户对加密货币的狂热举世闻名,而溢价的本质是供不应求,大量韩元涌入,追逐有限的加密资产。/ f6 y# p- H1 `- r+ q8 @& ]; c

9 z* g: [; ~/ Q: V( e7 d9 F6 E这意味着韩国交易平台的热钱包里,长期躺着远超其他市场的流动性。对黑客来说,这就是一座金矿。: a1 F9 z4 `( e! w9 `
0 ~( S- v: U6 v0 O
第三,语言有优势。Lazarus 的攻击并非只靠技术暴力破解。他们擅长社会工程学,比如伪造招聘信息、发送钓鱼邮件、冒充客服套取验证码。
. [4 z! G6 d4 s: W( z2 L  d* h6 B
1 @1 Q" @# y3 Q: b; N5 @8 E朝韩同文同种,语言障碍为零,这让针对韩国员工和用户的定向钓鱼攻击成功率大幅提升。
2 Q# P5 {; J. N! u. m6 z
$ H/ Z. B' n8 m* V1 [被盗的钱去哪了?这可能才是故事最有看点的部分。1 g2 D2 P: t( w1 \% m1 g
6 I1 o# W! _0 \! J
根据联合国报告和多家区块链分析公司的追踪,Lazarus 窃取的加密货币最终流向了朝鲜的核武器和弹道导弹计划) Z) f# O# ^! k7 [7 x' L

5 @) [+ p1 R# {4 J此前,路透社援引一份联合国机密报告称,朝鲜使用被盗的加密货币资金来帮助资助其导弹开发计划。
8 `: ^1 F  d2 g' k
7 s7 K4 n) F( r; ^2023 年 5 月,白宫副国家安全顾问 Anne Neuberger 公开表示,朝鲜导弹计划约 50% 的资金来自网络攻击和加密货币盗窃;这一比例相比她 2022 年 7 月给出的「约三分之一」进一步上升。
, }# K) N& G% y3 _# i' n+ }! a6 V$ W9 i' ^1 X4 \
换句话说,每一次韩国交易平台被盗,都可能在间接为三八线对面的核弹头添砖加瓦。9 j- r# Q* W7 C5 d

8 }/ j9 r+ [& N9 U. f/ K同时,洗钱路径已经相当成熟:被盗资产先通过「剥离链」技术拆分成无数小额交易,再经由混币器(如 Tornado Cash、Sinbad)混淆来源,然后通过朝鲜自建的交易平台以折扣价兑换成比特币,最后通过中俄的地下渠道兑换成法币。
$ \# Q1 {. o6 a+ a" k% s# b: f" r; F( t! Z+ R0 R  G# _
2019 年 Upbit 被盗的 34.2 万枚 ETH,韩国警方正式公布调查结果显示: 57% 在疑似朝鲜运营的三家交易平台以低于市场价 2.5% 的价格兑换成比特币,剩余 43% 通过 13 个国家的 51 家交易平台洗白。整个过程历时数年,至今绝大部分资金仍未追回。
4 q: S9 @" i4 t7 r$ B3 p1 L0 [$ p- _
这或许是韩国交易平台面临的根本困境:
) K5 T3 H9 {# c' [* _& @
3 c1 t1 r- G. P& @  o! y( p一边是 Lazarus,一支拥有国家资源支持、可以 24 小时轮班作业、不计成本投入的黑客部队;另一边是 Upbit、Bithumb 这样的商业公司。: B" W0 _% ^( l4 P, T; h0 I
$ w/ {- d4 G; T9 O
即便是通过审查的头部交易平台,在面对国家级高持续性威胁攻击时,依然力不从心。5 S  K  O# t& F# @2 h! E4 o: O
  w9 F& `* Z7 J, M+ H
不只是韩国的问题
" x: C0 D3 s/ r. q八年、十余起攻击、约 2 亿美元损失,如果只把这当作韩国加密行业的本地新闻,就错过了更大的图景。3 d9 k2 s6 I) ]5 T6 }  s+ x2 J& h- e
  e- t: x- Z0 e. t
韩国交易平台的遭遇,是加密行业与国家级对手博弈的预演。0 I2 p4 W# z7 K& E* E# L3 e
3 }( x, r3 W2 P  ?& p* r
朝鲜是最显眼的玩家,但不是唯一的玩家。俄罗斯某些高威胁攻击组织被指与多起 DeFi 攻击存在关联,伊朗黑客曾针对以色列加密公司发动攻击,朝鲜自己也早已把战场从韩国扩展到全球,比如 2025 年 Bybit 的 15 亿美元、2022 年 Ronin 的 6.25 亿美元,受害者遍布各大洲。
1 i7 i3 R! Y3 m
2 y* c  X% e) q/ \8 S& h9 W1 i
) `( O! Q& b2 e. z& Q, y加密行业有一个结构性矛盾,即一切必须经过中心化的入口。
2 ]7 m# z1 |8 i# Q# G; A
) w0 Y2 w) ^% _5 P+ a无论链本身多么安全,用户的资产终究要通过交易平台、跨链桥、热钱包这些「咽喉要道」流动。
3 C0 ?5 t. w8 K% X. \, o) U' w& {7 u/ z, ^/ O0 }4 u) F$ Z' z+ L
这些节点集中了海量资金,却由预算有限的商业公司运营;对国家级黑客而言,这是效率极高的狩猎场& q6 S) |& X1 w
7 ^1 q5 }/ U/ S! q0 ^2 E. t
攻防双方的资源从根本上不对等,Lazarus 可以失败一百次,交易平台只能失败一次。! A- U, W- e4 g5 U3 E
" |2 g# j1 `2 S& |/ ]
泡菜溢价还会继续吸引全球套利者和本土散户,Lazarus 不会因为被bao光而停手,韩国交易平台与国家级黑客的攻防战远未结束。
; z. I8 d0 d2 L1 R9 {* {4 P
6 q  Z( X' `8 A8 }只是希望下一次被盗的,不是你自己的钱。
0 V6 \* P( s- ~& s5 T. M3 v( o/ d  Y) G

+ d1 Y9 f- M: p- D: x' n
7 r% o3 }8 J$ C+ }! d! b* j5 z" S+ }( V. a
- `7 x0 T) r' M

4 B7 h  e8 Y6 S' P2 ?0 d# x) i/ W' ~3 q# u1 z: @* z
作者: 22301    时间: 2025-11-28 07:49
这个被盗了也是很无奈的事情了。
作者: 赚钱小样    时间: 2025-11-28 10:44
这个核心方面也是很重要的啦。
作者: whywhy    时间: 2025-11-28 14:46
又是盗币事件,Upbit 运气真糟糕,540 亿韩元不是小数目啊
作者: rainwang    时间: 2025-11-28 15:25
如此特别的结果,看来真的是有意思了
作者: 垂钓园    时间: 2025-11-28 18:37
这操作太狠了,连SPL代币都不放过,Upbit真是躺枪啊
作者: 爱美的女人    时间: 2025-11-28 21:08
再次被盗也是没有太安全了
作者: 右耳    时间: 2025-11-29 12:59
Upbit这平台真够背,又双叒叕被盯上了,这回损失也太大了
作者: 舞出精彩    时间: 2025-11-29 14:19
那是要在看是什么样的先吧
作者: 小作文    时间: 2025-11-30 13:34
六年前就中过招,Upbit这风控是真让人心累,大额提现还是冷钱包靠谱点
作者: g9527    时间: 2025-12-1 21:42
又是Upbit被盗,这安全漏洞也太吓人了
作者: 德罗星    时间: 2025-12-3 18:28
很是非常的转载的情况的啊。
作者: 叫我十三    时间: 2025-12-5 07:22
这波 Upbit 真是魔咒了,又到这天就出事,安全还能信吗
作者: whywhy    时间: 2025-12-8 13:36
又被盗了,Upbit 这次损失惨重啊,教训总结要及时,防范措施也得加强
作者: g9527    时间: 2025-12-10 17:58
这Upbit咋又给掏空了,六年了还是不长记性啊
作者: g9527    时间: 2025-12-16 19:13
这Upbit咋又双叒叕被一锅端了,六年了还没长记性啊
作者: g9527    时间: 2025-12-19 20:56
这Upbit六年了咋还这么不长记性,热钱包跟自家后院似的
作者: 右耳    时间: 2025-12-26 19:11
哎,又见老平台出事,真是让人心里拔凉拔凉的
作者: 叫我十三    时间: 2026-1-6 00:30
哎,这Upbit也是没谁了,隔几年就被盯上一次,这链上战场真不是闹着玩的
作者: g9527    时间: 2026-1-13 19:29
这Upbit咋又中招了,热钱包跟不设防似的
作者: 右耳    时间: 2026-1-16 17:56
这操作跟割韭菜似的,平台不牢靠,钱包比命还金贵
作者: g9527    时间: 2026-1-17 18:42
这Upbit六年了还不长记性,热钱包跟公共厕所似的谁都能进



欢迎光临 优惠论坛 (https://tcelue.ooo/) Powered by Discuz! X3.1