优惠论坛

标题: 六年后同一天再次被盗:Upbit成韩朝「链上战场」核心(转) [打印本页]
作者: caoch    时间: 2025-11-28 00:19
标题: 六年后同一天再次被盗:Upbit成韩朝「链上战场」核心(转)
市场反弹了,但交易平台又被盗了。
, }8 ^' X5 L0 }: n; b; n; [# A/ x, M$ {
11 月 27 日,韩国最大的加密货币交易平台 Upbit 确认发生安全漏洞,导致价值约 540 亿韩元(约 3680 万美元)的资产流失。- o* F$ }" D+ i3 T
; M, Z' I3 }. g. T- q, Y" J
首尔时间 11 月 27 日凌晨 04:42(KST),当大多数韩国交易员还在沉睡时,Upbit 的 Solana 热钱包地址出现了异常的大规模资金流出。
: ]% \0 K% g+ ^2 t; O# G' s; r5 k
, h( ~, _* e6 r; Q8 a0 J据慢雾等安全机构的链上监测数据,攻击者并未采取单一资产转移的方式,而是对 Upbit 在 Solana 链上的资产进行了「清空式」掠夺。7 C  r# G7 R3 z& D% p
$ Z7 u! {5 h) K# F  w0 l5 N3 Q
被盗资产不仅包含核心代币 SOL 和稳定币 USDC,还覆盖了 Solana 生态内几乎所有主流的 SPL 标准代币。8 |. R7 K' F& W2 X4 w/ P! e  ~! K
7 k3 o+ d4 q2 U

' {; p1 V' X! Y: {9 V被盗资产清单(部分):
: c, ^) g9 O1 A% C' g$ s$ D  v; C, w0 O7 _% g
· DeFi/基础设施类:JUP (Jupiter), RAY (Raydium), PYTH (Pyth Network), JTO (Jito), RENDER, IO 等。  q, d2 j$ b- f( y/ D% e

( g0 D- _+ g; B' u, f" Y4 V! P· Meme/社区类:BONK, WIF, MOODENG, PENGU, MEW, TRUMP 等。
6 r3 w6 O' c6 p- @2 |1 W) H2 R' `1 ?4 x4 c( @3 D3 f- x; Q
· 其他项目:ACS, DRIFT, ZETA, SONIC 等。
. x2 I" K( Q* M( E- h
8 C5 M& B1 I; @6 K这种一锅端的特征表明,攻击者极有可能获取了 Upbit 负责 Solana 生态热钱包的私钥权限,或者是签名服务器(Signing Server)遭到了直接控制,导致其能够对该钱包下的所有 SPL 代币进行授权转移。
' W: E7 Z1 q5 C( \5 ~5 V
9 n/ v2 ?( w) Y  ^0 J/ B对于 Upbit 这家占据韩国 80% 市场份额、以拥有韩国互联网振兴院(KISA)最高安全等级认证为傲的巨头来说,这无疑是一次惨痛的「破防」。+ P1 i1 s3 K1 A: w# x, V

  v- a! i" h1 X' E" s& Y) g不过,这也不是韩国交易平台第一次被盗了。; Y; R* S# M1 ]8 N

3 q+ ^' o+ D3 M6 G4 G; Y$ p如果将时间轴拉长,我们会发现韩国加密市场在过去八年里,实际上一直在被黑客,尤其是朝鲜黑客光顾。) K5 y% Q. T. M# h
; d- y- J7 o5 B( z/ N
韩国加密市场,不仅是全球最疯狂的散户赌场,也是北朝鲜黑客最顺手的「提款机」。
& o: o; Q8 d5 ?7 F. F; D
2 m8 u) _% D8 J八年朝韩攻防,被盗编年史  f0 v# Q4 d8 G7 \9 z
从早期的暴力破解到后来的社会工程学渗透,攻击手段不断进化,韩国交易平台的受难史也随之延长。
+ P9 K. B$ r+ {! U
1 o" l2 ]0 o" t) s3 Z5 }1 x7 p+ u累计损失:约 2 亿美元(按被盗时价格;若按当前价格计算超过 12 亿美元,其中仅 2019 年 Upbit 被盗的 34.2 万枚 ETH 现值已超 10 亿美元)$ b  ~4 x) l/ z; I6 y
5 N1 U1 q7 |8 F5 p3 v
· 2017:蛮荒时代,黑客从员工电脑下手
  @5 I, F. z1 \) a* R. i) N2017 年是加密牛市的起点,也是韩国交易平台噩梦的开始。8 Y( \1 U" o. ]  P/ O. A

- q2 L* K4 q3 N3 L( L/ ^; b0 ~2 R这一年,韩国最大的交易平台 Bithumb 率先「中招」。6 月,黑客入侵了一名 Bithumb 员工的个人电脑,窃取了约 31,000 名用户的个人信息,随后利用这些数据对用户发起定向钓鱼攻击,卷走约 3200 万美元。事后调查发现,员工电脑上存储着未加密的客户数据,公司甚至没有安装基本的安全更新软件。
9 ]  a3 j8 y4 Y. G3 m$ n7 d6 G/ k, E0 M2 W5 l# y
这暴露了当时韩国交易平台安全管理的草台状态,连「不要在私人电脑存客户数据」这种常识都没有建立。7 t1 W; R% Q0 d5 i

8 ?/ Z& L; J; b更具标志性意义的是中型交易平台 Youbit 的覆灭。这家交易平台在一年内遭受了两次毁灭性打击:4 月份丢失近 4000 枚比特币(约 500 万美元),12 月再次被盗走 17% 的资产。不堪重负的 Youbit 宣布破产,用户只能先提取 75% 的余额,剩余部分需等待漫长的破产清算。
2 {, C; }' |7 L2 j! {
6 U) j+ |" y& MYoubit 事件后,韩国互联网安全局(KISA)首次公开指控朝鲜是幕后黑手。这也向市场发出了一个信号:
3 D6 n6 A5 T( K, i3 s
/ S4 q; W) [6 t0 F交易平台面对的不再是普通网络窃贼,而是有着地缘ZZ目的的国家级黑客组织。  `9 H6 i0 f* y" r7 J
) Z; `4 _+ G2 U3 v
· 2018:热钱包大劫案
( b' ~, O% B% Z8 u2018 年 6 月,韩国市场经历了连续重创。
# V+ v9 Q' i: W' E; e8 J4 p* r# {* W7 [2 v+ o8 y; s! C
6 月 10 日,中型交易平台 Coinrail 遭遇袭击,损失超过 4000 万美元。与此前不同,这次黑客主要掠夺的是当时火热的 ICO 代币(如 Pundi X 的 NPXS),而非比特币或以太坊。消息传出后,比特币价格短时暴跌超过 10%,整个加密市场在两天内蒸发超过 400 亿美元市值。
" ~% U2 p; X) |) k7 U
8 }& x. w8 ]7 A仅仅十天后,韩国头部交易平台 Bithumb 也宣告失守,热钱包被盗走约 3100 万美元的 XRP 等代币。讽刺的是,攻击发生前几天,Bithumb 刚在推特上宣布正在「将资产转移至冷钱包以升级安全系统」。
3 c/ }! b7 W5 ?# }* v2 u; @& X( b! V$ a7 r* \9 ?6 _, t
这是 Bithumb 一年半内第三次被黑客「光顾」。1 u* K0 M$ ?. b: l

: ^7 E. e  Z6 q' m5 t  u「连环爆雷」严重打击了市场信心。事后,韩国科技部对国内 21 家交易平台进行安全审查,结果显示只有 7 家通过全部 85 项检查,剩余 14 家「随时可能暴露于黑客攻击风险中」,其中 12 家在冷钱包管理方面存在严重漏洞。1 @" L! o6 z7 N1 m! X; B
( ~( S9 P' P$ I  y
· 2019:Upbit 的 342,000 枚 ETH 被盗$ g! q; y; ?/ i
2019 年 11 月 27 日,韩国最大交易平台 Upbit 遭遇了当时国内史上最大规模的单笔盗窃。
" A- j9 {0 D- N) H  d3 K3 w# q7 z. P6 j& q: }6 ?
黑客利用交易平台整理钱包的间隙,单笔转走了 342,000 枚 ETH。他们没有立即砸盘,而是通过「剥离链」(Peel Chain)技术,将资金拆解成无数笔小额交易,层层转移,最终流入数十家非 KYC 交易平台和混币器。
% `  U' f0 \, r1 R  y
" J+ Y1 C0 b6 E调查显示,57% 的被盗 ETH 以低于市场价 2.5% 的折扣在疑似朝鲜运营的交易平台兑换成比特币,剩余 43% 通过 13 个国家的 51 家交易平台洗白。
2 J1 o8 l% Y: |- |; b9 P3 p8 _. l$ W( R4 P% L) m5 P
直到五年后的 2024 年 11 月,韩国警方才正式确认该案系朝鲜黑客组织 Lazarus Group 和 Andariel 所为。调查人员通过 IP 追踪、资金流向分析,以及攻击代码中出现的朝鲜特有词汇「흘한 일」(意为「不重要」)锁定了攻击者身份。
9 C% z$ W7 ?3 X" H6 A& ]0 c* {, G) \9 H; O% G$ {
韩国当局与美国 FBI 合作追踪资产,历经四年司法程序,最终从瑞士一家交易平台追回 4.8 枚比特币(约 6 亿韩元),并于 2024 年 10 月归还 Upbit。
' P& ]* R0 Q# R
$ D1 a" G  G- H不过相比被盗总额,这点追回几乎可以忽略不计。* I" e9 S$ |; C3 s

" }9 V7 P9 P( W" }0 Z· 2023:GDAC 事件0 _4 |& {2 g/ j; J5 P! M2 @
2023 年 4 月 9 日,中型交易平台 GDAC 遭遇攻击,损失约 1300 万美元——占其托管总资产的 23%。
' l) t$ H3 f+ b9 `/ Z$ i0 p& b7 y6 f7 Z+ L
被盗资产包括约 61 枚 BTC、350 枚 ETH、1000 万枚 WEMIX 代币和 22 万 USDT。黑客控制了 GDAC 的热钱包,并迅速将部分资金通过 Tornado Cash 混币器洗白。
2 e, Y+ X3 Y# r8 X
7 w/ d  \& O: Y! `4 Q0 D· 2025:六年后的同一天,Upbit 再次沦陷: |! P) J5 A/ T% e3 W
六年前的同一天(11 月 27 日),Upbit 曾损失 342,000 枚 ETH。
0 R& n% v  h/ Q" H- p% y
( W/ O1 u6 Z* T9 v历史再次重演。凌晨 4:42,Upbit 的 Solana 热钱包出现异常资金流出,约 540 亿韩元(3680 万美元)的资产被转移至未知地址。
% Y! o) c2 t. v8 o0 b4 p8 B! L+ `4 `0 w  n2 t# `- \
2019 年 Upbit 事件之后,2020 年韩国正式实施《特定金融信息法》(特金法),要求所有交易平台取得 ISMS(信息安全管理体系)认证并在银行开设实名账户。大量无法达标的小型交易平台被迫退出市场,行业格局从「百所混战」收缩为少数几家巨头主导。Upbit 凭借 Kakao 系的资源背书和认证的通过,市场份额一度超过 80%。) b: R  m/ O7 d$ d
9 G  J1 ]6 R6 O7 J7 J9 B+ ?" Y
但六年的合规建设,并没有让 Upbit 逃过这一劫。
- Y- A2 J( V4 Q: l0 W0 Y  p( G5 j7 P1 I2 @, o
截至发稿,Upbit 已宣布将用自有资产全额赔付用户损失,但关于攻击者身份和具体攻击路径,官方尚未公布详细信息。
. V# h: S. m/ C' u3 F. `! F% U
% g! v' M6 f( b4 I泡菜溢价 、国家级黑客与核武器
0 F( B4 d" S7 B3 j* L6 f韩国交易平台频频被盗并非单纯的技术无能,而是地缘ZZ的悲剧投影。
3 ]$ D9 j. M7 h5 l5 K1 h: Y/ i% I% P, H, ~& A. j2 b6 Z
在一个高度中心化、流动性溢价极高且地理位置特殊的市场,韩国交易平台实际上是在用一家商业公司的安防预算,去对抗一个拥有核威慑诉求的国家级黑客部队。
* I) q- |, p5 N0 n1 Y
6 q  A+ q  N4 R( z) {2 R! N6 w这支部队有个名字:Lazarus Group9 \0 P& P6 ?9 b& w: T/ |* ^- S* |
, s1 i5 E' h2 B& \; J- P0 c% e
Lazarus 隶属于朝鲜侦察总局(RGB),是平壤最精锐的网络战力量之一。
- a. x: S' \: @- J, q( u1 Z  g1 b  M: n3 T+ D  M7 d  r" g* H7 a
在转向加密货币之前,他们已经在传统金融领域证明了自己的实力。+ ^2 K$ Y2 y! m; w  p, r

. U0 i9 }) W8 X" i2014 年攻破索尼影业,2016 年从孟加拉国央行盗走 8100 万美元,2017 年策划了波及 150 个国家的 WannaCry 勒索病毒。" u* H, l/ q* E, i$ X6 w
# l3 r, \# `! I: M# Y! Q
2017 年起,Lazarus 将目标转向加密货币领域。原因很简单:
9 E# H- v+ K1 k1 a
* C" a( \/ q  H" w1 y9 |相比传统银行,加密货币交易平台监管更松、安全标准参差不齐,而且一旦得手,资金可以通过链上转移迅速跨境,绕开国际制裁体系。+ R2 `+ O; R* T9 a: j# b

% v2 e$ x, W( e( D而韩国,恰好是最理想的猎场。9 I5 I+ @* S  t+ B& @' a% h% j* }

, N1 ]1 {+ Z- J# Y0 H5 Y第一,韩国是地缘对抗的天然目标。对朝鲜而言,攻击韩国企业不仅能获取资金,还能在「敌国」制造混乱,一举两得。
* X6 S) a8 t% _2 T% w- g; F% R5 J7 x9 s$ \% i: R
第二,泡菜溢价背后是肥美的资金池。韩国散户对加密货币的狂热举世闻名,而溢价的本质是供不应求,大量韩元涌入,追逐有限的加密资产。
& z) r. k/ t! C( v9 ?0 N5 n7 q$ C" \" i2 v; T8 y+ d3 c- d# M8 `* q
这意味着韩国交易平台的热钱包里,长期躺着远超其他市场的流动性。对黑客来说,这就是一座金矿。
/ Z& T0 F$ M) \+ b2 S, Z
% D3 V, x. ?( v  _" l' [% S/ I* t; F第三,语言有优势。Lazarus 的攻击并非只靠技术暴力破解。他们擅长社会工程学,比如伪造招聘信息、发送钓鱼邮件、冒充客服套取验证码。
/ W2 a2 a$ L! f0 P. G" \; Q2 T" T2 _. U3 I
朝韩同文同种,语言障碍为零,这让针对韩国员工和用户的定向钓鱼攻击成功率大幅提升。
$ L6 K& a& Z6 t2 C4 u( T" D- c# F  o; h, C4 w: q/ U
被盗的钱去哪了?这可能才是故事最有看点的部分。
: u& q7 T7 }1 R2 `" @. C
; K8 @9 ~, H: ]2 ]& t$ M; H根据联合国报告和多家区块链分析公司的追踪,Lazarus 窃取的加密货币最终流向了朝鲜的核武器和弹道导弹计划
4 p& d( K0 j- C4 [
$ a* {, l# A$ o" I% i/ ]; x此前,路透社援引一份联合国机密报告称,朝鲜使用被盗的加密货币资金来帮助资助其导弹开发计划。
" {8 Z1 Y. P0 |' H" J$ `# d: |% ?- O
2023 年 5 月,白宫副国家安全顾问 Anne Neuberger 公开表示,朝鲜导弹计划约 50% 的资金来自网络攻击和加密货币盗窃;这一比例相比她 2022 年 7 月给出的「约三分之一」进一步上升。1 L) n7 o. N" _; H: f

$ h# Q# Q- F. a& z" q, \9 M; k换句话说,每一次韩国交易平台被盗,都可能在间接为三八线对面的核弹头添砖加瓦。. O+ k8 L  y, y' v9 o4 U
: p+ a' d8 i* d3 x6 s% s$ I* x7 T3 V
同时,洗钱路径已经相当成熟:被盗资产先通过「剥离链」技术拆分成无数小额交易,再经由混币器(如 Tornado Cash、Sinbad)混淆来源,然后通过朝鲜自建的交易平台以折扣价兑换成比特币,最后通过中俄的地下渠道兑换成法币。
8 Z" u& W1 Z: B1 d7 h' g
6 t; n; V6 y( y6 m/ J2019 年 Upbit 被盗的 34.2 万枚 ETH,韩国警方正式公布调查结果显示: 57% 在疑似朝鲜运营的三家交易平台以低于市场价 2.5% 的价格兑换成比特币,剩余 43% 通过 13 个国家的 51 家交易平台洗白。整个过程历时数年,至今绝大部分资金仍未追回。
$ o/ d! }3 C3 e' F1 w" ^* e% P+ G6 S/ K
这或许是韩国交易平台面临的根本困境:
: y7 `  Y5 r& ]' r& a; y7 @4 U' \& H. [5 G
一边是 Lazarus,一支拥有国家资源支持、可以 24 小时轮班作业、不计成本投入的黑客部队;另一边是 Upbit、Bithumb 这样的商业公司。3 J# H1 H; [% F# |' w+ g5 g# M3 T
9 P6 r& H4 [0 D6 T- e
即便是通过审查的头部交易平台,在面对国家级高持续性威胁攻击时,依然力不从心。; E+ @; X$ T1 |8 V% _

& p" m8 |9 [: H) Z# o不只是韩国的问题
4 c  j9 {( o, d5 E0 s. `0 z- s! W八年、十余起攻击、约 2 亿美元损失,如果只把这当作韩国加密行业的本地新闻,就错过了更大的图景。+ u1 `" i6 O" T6 R, ~

8 Q7 p, L# _, W; |5 @) R" M1 t  p韩国交易平台的遭遇,是加密行业与国家级对手博弈的预演。3 {' h4 I  e7 X5 p: z
! a7 s/ t8 m* `, J5 y( E
朝鲜是最显眼的玩家,但不是唯一的玩家。俄罗斯某些高威胁攻击组织被指与多起 DeFi 攻击存在关联,伊朗黑客曾针对以色列加密公司发动攻击,朝鲜自己也早已把战场从韩国扩展到全球,比如 2025 年 Bybit 的 15 亿美元、2022 年 Ronin 的 6.25 亿美元,受害者遍布各大洲。
9 P) @$ b4 h3 o. }/ `3 w
( r, W0 L0 ^( E9 D) @3 L7 h2 U2 ?" ^0 A  Q: Y. A
加密行业有一个结构性矛盾,即一切必须经过中心化的入口。+ j1 p' @6 `* J7 s
" m4 t2 s: h6 o4 T& K
无论链本身多么安全,用户的资产终究要通过交易平台、跨链桥、热钱包这些「咽喉要道」流动。
9 o! {- R5 ?- N5 y, y6 c: B& r8 j
这些节点集中了海量资金,却由预算有限的商业公司运营;对国家级黑客而言,这是效率极高的狩猎场3 u4 I/ ^9 m; S) j& O8 w6 A

. ~6 @; P: M  V$ Q% k攻防双方的资源从根本上不对等,Lazarus 可以失败一百次,交易平台只能失败一次。
& b6 o/ K  \+ [' g, v6 k/ m
; K+ u* @% C" {  F1 X+ W泡菜溢价还会继续吸引全球套利者和本土散户,Lazarus 不会因为被bao光而停手,韩国交易平台与国家级黑客的攻防战远未结束。* C9 L* ?& D. _7 b
! E  N' j- h4 u3 v+ j: u$ @
只是希望下一次被盗的,不是你自己的钱。
# k4 m7 v4 d! _( h  f+ Q
% O" ]7 d& _  C, z2 b2 a& U9 i0 }5 u+ t' ?; X% ], N6 T

; A% w, c( d+ O/ d5 w5 c
7 v# }9 y/ q+ \1 \" h( A( o8 f" [" C* I- b3 ]$ G

( N9 a) |! e- s! m* l) r7 n, F8 O
* {4 [9 _& }0 n. i! l2 z
作者: 22301    时间: 2025-11-28 07:49
这个被盗了也是很无奈的事情了。
作者: 赚钱小样    时间: 2025-11-28 10:44
这个核心方面也是很重要的啦。
作者: whywhy    时间: 2025-11-28 14:46
又是盗币事件,Upbit 运气真糟糕,540 亿韩元不是小数目啊
作者: rainwang    时间: 2025-11-28 15:25
如此特别的结果,看来真的是有意思了
作者: 垂钓园    时间: 2025-11-28 18:37
这操作太狠了,连SPL代币都不放过,Upbit真是躺枪啊
作者: 爱美的女人    时间: 2025-11-28 21:08
再次被盗也是没有太安全了
作者: 右耳    时间: 2025-11-29 12:59
Upbit这平台真够背,又双叒叕被盯上了,这回损失也太大了
作者: 舞出精彩    时间: 2025-11-29 14:19
那是要在看是什么样的先吧
作者: 小作文    时间: 2025-11-30 13:34
六年前就中过招,Upbit这风控是真让人心累,大额提现还是冷钱包靠谱点
作者: g9527    时间: 2025-12-1 21:42
又是Upbit被盗,这安全漏洞也太吓人了
作者: 德罗星    时间: 2025-12-3 18:28
很是非常的转载的情况的啊。
作者: 叫我十三    时间: 2025-12-5 07:22
这波 Upbit 真是魔咒了,又到这天就出事,安全还能信吗
作者: whywhy    时间: 2025-12-8 13:36
又被盗了,Upbit 这次损失惨重啊,教训总结要及时,防范措施也得加强
作者: g9527    时间: 2025-12-10 17:58
这Upbit咋又给掏空了,六年了还是不长记性啊
作者: g9527    时间: 2025-12-16 19:13
这Upbit咋又双叒叕被一锅端了,六年了还没长记性啊
作者: g9527    时间: 2025-12-19 20:56
这Upbit六年了咋还这么不长记性,热钱包跟自家后院似的
作者: 右耳    时间: 2025-12-26 19:11
哎,又见老平台出事,真是让人心里拔凉拔凉的
作者: 叫我十三    时间: 2026-1-6 00:30
哎,这Upbit也是没谁了,隔几年就被盯上一次,这链上战场真不是闹着玩的
作者: g9527    时间: 2026-1-13 19:29
这Upbit咋又中招了,热钱包跟不设防似的
作者: 右耳    时间: 2026-1-16 17:56
这操作跟割韭菜似的,平台不牢靠,钱包比命还金贵
作者: g9527    时间: 2026-1-17 18:42
这Upbit六年了还不长记性,热钱包跟公共厕所似的谁都能进



欢迎光临 优惠论坛 (https://tcelue.cc/) Powered by Discuz! X3.1