优惠论坛

标题: 六年后同一天再次被盗:Upbit成韩朝「链上战场」核心(转) [打印本页]
作者: caoch    时间: 2025-11-28 00:19
标题: 六年后同一天再次被盗:Upbit成韩朝「链上战场」核心(转)
市场反弹了,但交易平台又被盗了。7 c1 H2 G+ q+ b" P- l/ J" ]

  F' j: R; C& \* k4 u% }! w9 D11 月 27 日,韩国最大的加密货币交易平台 Upbit 确认发生安全漏洞,导致价值约 540 亿韩元(约 3680 万美元)的资产流失。  a1 @* E0 R5 D* x0 n

' x. d+ Y, F8 z2 W% g2 V2 w首尔时间 11 月 27 日凌晨 04:42(KST),当大多数韩国交易员还在沉睡时,Upbit 的 Solana 热钱包地址出现了异常的大规模资金流出。
* k' I& Z3 b0 I/ {3 D8 H1 c# P( x2 t3 s0 e( ^: x
据慢雾等安全机构的链上监测数据,攻击者并未采取单一资产转移的方式,而是对 Upbit 在 Solana 链上的资产进行了「清空式」掠夺。
; j  C$ b( d$ w) h7 z  L5 w- e2 `. S: @  D; N) v: ~
被盗资产不仅包含核心代币 SOL 和稳定币 USDC,还覆盖了 Solana 生态内几乎所有主流的 SPL 标准代币。
8 B; O2 f1 \7 ~( u# e
9 s* B: |( T8 f9 F/ C2 j+ _
4 i. z+ s4 t" c8 z' e5 h被盗资产清单(部分):
8 M2 s+ ]. z: k& i/ J, w
" [4 j/ c6 r" P% @( N· DeFi/基础设施类:JUP (Jupiter), RAY (Raydium), PYTH (Pyth Network), JTO (Jito), RENDER, IO 等。* [& C0 I- G+ J9 f

. d4 w1 k, `8 P/ [· Meme/社区类:BONK, WIF, MOODENG, PENGU, MEW, TRUMP 等。8 X! K0 D& G& C) _+ ~& a4 W
% y# S' J: N4 M) A+ n" I
· 其他项目:ACS, DRIFT, ZETA, SONIC 等。
% T, v. r- W% e9 S/ A7 o, e" l, K/ \( Y
这种一锅端的特征表明,攻击者极有可能获取了 Upbit 负责 Solana 生态热钱包的私钥权限,或者是签名服务器(Signing Server)遭到了直接控制,导致其能够对该钱包下的所有 SPL 代币进行授权转移。9 ^5 o$ d  X$ Q( _$ |  U0 Y$ B
8 u8 S! _- G( w: f+ j( ]' S
对于 Upbit 这家占据韩国 80% 市场份额、以拥有韩国互联网振兴院(KISA)最高安全等级认证为傲的巨头来说,这无疑是一次惨痛的「破防」。+ g( T2 ]) F: m! i$ G  v
, W/ D! E5 J; M6 U/ c) M. {
不过,这也不是韩国交易平台第一次被盗了。
; Q2 b9 s- |. M3 a0 K- k1 r
. H  F; f) C3 u如果将时间轴拉长,我们会发现韩国加密市场在过去八年里,实际上一直在被黑客,尤其是朝鲜黑客光顾。8 [* z: V% I9 S4 f! q. X

8 F5 b0 ]" f! W$ N7 f韩国加密市场,不仅是全球最疯狂的散户赌场,也是北朝鲜黑客最顺手的「提款机」。
2 F" r" H5 E0 v- H  M: C( }' N' i5 r9 P  |/ y; h
八年朝韩攻防,被盗编年史
8 g7 s" ]- g2 r+ h* N2 k从早期的暴力破解到后来的社会工程学渗透,攻击手段不断进化,韩国交易平台的受难史也随之延长。1 A! B% Y& m+ i; p

3 }) Z& k# ^' F" p累计损失:约 2 亿美元(按被盗时价格;若按当前价格计算超过 12 亿美元,其中仅 2019 年 Upbit 被盗的 34.2 万枚 ETH 现值已超 10 亿美元)% ~8 w  K+ m! E) X0 P! ?1 L% y

+ e$ J0 E7 O4 [1 t6 S· 2017:蛮荒时代,黑客从员工电脑下手+ J% N3 R6 s  Y( Y  [# b
2017 年是加密牛市的起点,也是韩国交易平台噩梦的开始。8 K9 c2 @, F$ a* J8 S. a+ C4 V
5 d0 h( d' J# K5 p
这一年,韩国最大的交易平台 Bithumb 率先「中招」。6 月,黑客入侵了一名 Bithumb 员工的个人电脑,窃取了约 31,000 名用户的个人信息,随后利用这些数据对用户发起定向钓鱼攻击,卷走约 3200 万美元。事后调查发现,员工电脑上存储着未加密的客户数据,公司甚至没有安装基本的安全更新软件。
7 C- `8 \" B/ k% n- I4 g, \) B  N6 q+ Y9 h6 }/ j- b, r
这暴露了当时韩国交易平台安全管理的草台状态,连「不要在私人电脑存客户数据」这种常识都没有建立。8 b6 z6 V) |* a$ ]1 C

( l/ ^, F) U& j3 ^" P0 t" ~更具标志性意义的是中型交易平台 Youbit 的覆灭。这家交易平台在一年内遭受了两次毁灭性打击:4 月份丢失近 4000 枚比特币(约 500 万美元),12 月再次被盗走 17% 的资产。不堪重负的 Youbit 宣布破产,用户只能先提取 75% 的余额,剩余部分需等待漫长的破产清算。% Y* i& W# S+ F% x
9 M( l' G5 V5 I0 Q# T8 b$ A) L' m2 ~
Youbit 事件后,韩国互联网安全局(KISA)首次公开指控朝鲜是幕后黑手。这也向市场发出了一个信号:
, O% Y5 d2 k8 x" M' s& ]1 L5 p; x
交易平台面对的不再是普通网络窃贼,而是有着地缘ZZ目的的国家级黑客组织。+ b( b: i$ P5 q6 I. `0 Y9 k5 A/ I' z, _4 p0 ^
/ \0 @: t1 Y/ A# T* K
· 2018:热钱包大劫案/ V/ F, \/ U* ~
2018 年 6 月,韩国市场经历了连续重创。
3 j% z: i) V3 K8 A" l! ]. F' x) @1 j! l3 x8 R( W7 E3 q5 c6 |+ C" M
6 月 10 日,中型交易平台 Coinrail 遭遇袭击,损失超过 4000 万美元。与此前不同,这次黑客主要掠夺的是当时火热的 ICO 代币(如 Pundi X 的 NPXS),而非比特币或以太坊。消息传出后,比特币价格短时暴跌超过 10%,整个加密市场在两天内蒸发超过 400 亿美元市值。6 N# L: J9 t% X* R, m5 J
4 p* w* b, x" N
仅仅十天后,韩国头部交易平台 Bithumb 也宣告失守,热钱包被盗走约 3100 万美元的 XRP 等代币。讽刺的是,攻击发生前几天,Bithumb 刚在推特上宣布正在「将资产转移至冷钱包以升级安全系统」。: e( z6 g7 ~5 m+ M
+ P! z2 v' G' [1 K" r' y1 V6 _4 w
这是 Bithumb 一年半内第三次被黑客「光顾」。9 g  p; S3 x& f8 h" M: C% g3 K: l  F

8 V: z+ `' @& [6 Y「连环爆雷」严重打击了市场信心。事后,韩国科技部对国内 21 家交易平台进行安全审查,结果显示只有 7 家通过全部 85 项检查,剩余 14 家「随时可能暴露于黑客攻击风险中」,其中 12 家在冷钱包管理方面存在严重漏洞。3 m* Y6 b5 \3 E3 U$ @3 _! Z

' S  B4 b  ]+ V$ [· 2019:Upbit 的 342,000 枚 ETH 被盗
4 G1 m' m6 Z4 W8 D+ E% W2019 年 11 月 27 日,韩国最大交易平台 Upbit 遭遇了当时国内史上最大规模的单笔盗窃。
' o' e3 b! m, K! e- h2 f$ f5 T* D6 t
黑客利用交易平台整理钱包的间隙,单笔转走了 342,000 枚 ETH。他们没有立即砸盘,而是通过「剥离链」(Peel Chain)技术,将资金拆解成无数笔小额交易,层层转移,最终流入数十家非 KYC 交易平台和混币器。4 U8 a, ~1 `! r5 _: P
( T: Y9 S! `: L+ \* ]8 h" Y( I  b3 m
调查显示,57% 的被盗 ETH 以低于市场价 2.5% 的折扣在疑似朝鲜运营的交易平台兑换成比特币,剩余 43% 通过 13 个国家的 51 家交易平台洗白。
# [) T7 W* a  a! v( V5 {6 ?- S- P* F+ r2 j8 H: @2 e) G
直到五年后的 2024 年 11 月,韩国警方才正式确认该案系朝鲜黑客组织 Lazarus Group 和 Andariel 所为。调查人员通过 IP 追踪、资金流向分析,以及攻击代码中出现的朝鲜特有词汇「흘한 일」(意为「不重要」)锁定了攻击者身份。
* ~1 p& w0 v, J: \# S9 U; u" C9 E& H
$ Z5 p% v6 ^8 d) j$ V* z4 D$ \. \韩国当局与美国 FBI 合作追踪资产,历经四年司法程序,最终从瑞士一家交易平台追回 4.8 枚比特币(约 6 亿韩元),并于 2024 年 10 月归还 Upbit。) R% ~% W. m; R8 F
3 g) n. O# b; l2 F2 d
不过相比被盗总额,这点追回几乎可以忽略不计。
' g% {2 A+ J+ M! X; s9 G  Z+ g1 `" A$ V7 |
· 2023:GDAC 事件
3 ]( ]0 s3 z$ ]' q9 n3 ^2023 年 4 月 9 日,中型交易平台 GDAC 遭遇攻击,损失约 1300 万美元——占其托管总资产的 23%。
8 e! A3 f* N. v& m+ K& \  L0 v% W% K+ e! r+ G
被盗资产包括约 61 枚 BTC、350 枚 ETH、1000 万枚 WEMIX 代币和 22 万 USDT。黑客控制了 GDAC 的热钱包,并迅速将部分资金通过 Tornado Cash 混币器洗白。
1 S" z3 j/ h* j; M! @3 K3 b/ ^( X) |# ^0 p0 L( N- E+ U
· 2025:六年后的同一天,Upbit 再次沦陷
6 L9 }' ~8 e9 c* m2 y5 s9 H六年前的同一天(11 月 27 日),Upbit 曾损失 342,000 枚 ETH。9 t2 u: f9 _2 b) K1 H& P7 ?
+ C1 Z4 o: o* d# O6 Q& ?( `8 s% Y
历史再次重演。凌晨 4:42,Upbit 的 Solana 热钱包出现异常资金流出,约 540 亿韩元(3680 万美元)的资产被转移至未知地址。( _0 U+ x6 @0 }1 o+ i; o1 u3 `/ J
( A) V0 V6 u" ~4 J9 W
2019 年 Upbit 事件之后,2020 年韩国正式实施《特定金融信息法》(特金法),要求所有交易平台取得 ISMS(信息安全管理体系)认证并在银行开设实名账户。大量无法达标的小型交易平台被迫退出市场,行业格局从「百所混战」收缩为少数几家巨头主导。Upbit 凭借 Kakao 系的资源背书和认证的通过,市场份额一度超过 80%。
  p% G4 E6 W+ d3 ]8 p2 u* j* A& B! d! j
但六年的合规建设,并没有让 Upbit 逃过这一劫。
6 O2 w5 Y% S  A! w' q; \& N1 I
& o8 m) j/ _  S' y, l$ f( z( x截至发稿,Upbit 已宣布将用自有资产全额赔付用户损失,但关于攻击者身份和具体攻击路径,官方尚未公布详细信息。7 ~  q% G8 S3 L0 p

" k" O6 t+ t# ]$ R泡菜溢价 、国家级黑客与核武器
+ s; S$ B3 X5 N: G  H韩国交易平台频频被盗并非单纯的技术无能,而是地缘ZZ的悲剧投影。
! W" `( N0 X1 q% S  ]4 g8 N, ?& a0 S
在一个高度中心化、流动性溢价极高且地理位置特殊的市场,韩国交易平台实际上是在用一家商业公司的安防预算,去对抗一个拥有核威慑诉求的国家级黑客部队。0 }% u, Z2 o5 T0 M0 R# K
, d: K1 t7 Y( M. W9 j: k; I0 q
这支部队有个名字:Lazarus Group
( l; X7 E1 Z5 v( j4 @8 G- K- k, E
Lazarus 隶属于朝鲜侦察总局(RGB),是平壤最精锐的网络战力量之一。
% [3 \- u! z7 B3 a% W0 U& {/ Y! g$ b0 U$ `/ Y( C; E1 d/ v
在转向加密货币之前,他们已经在传统金融领域证明了自己的实力。5 q6 [/ w0 q* W
+ S4 f% C% i0 R6 J8 L8 u
2014 年攻破索尼影业,2016 年从孟加拉国央行盗走 8100 万美元,2017 年策划了波及 150 个国家的 WannaCry 勒索病毒。' p2 Q, e3 z# P( ^7 u

! O( ]2 d0 p" Y7 Y& q9 t2017 年起,Lazarus 将目标转向加密货币领域。原因很简单:& d) N% w, m- M7 c

( p9 @/ C6 k; B, i& ?相比传统银行,加密货币交易平台监管更松、安全标准参差不齐,而且一旦得手,资金可以通过链上转移迅速跨境,绕开国际制裁体系。& B; I( W. b+ Z, b7 t/ ]: C

1 e0 M, H6 A! j而韩国,恰好是最理想的猎场。
: x' Z, Y/ @" n# f; W5 G0 E" n# I
  ~2 x  i- D  x2 J; [6 |- d6 j: `第一,韩国是地缘对抗的天然目标。对朝鲜而言,攻击韩国企业不仅能获取资金,还能在「敌国」制造混乱,一举两得。$ }, n7 W0 q! Q: H7 s, q6 |" N

# D5 H  V& ~* k第二,泡菜溢价背后是肥美的资金池。韩国散户对加密货币的狂热举世闻名,而溢价的本质是供不应求,大量韩元涌入,追逐有限的加密资产。
, S; D& h  X! M5 ~- R9 k3 M, r
1 A' p5 H' l5 B这意味着韩国交易平台的热钱包里,长期躺着远超其他市场的流动性。对黑客来说,这就是一座金矿。, u: _) k8 L" L  Q5 P8 y

! |  {' Y$ [+ ~/ {4 d* O第三,语言有优势。Lazarus 的攻击并非只靠技术暴力破解。他们擅长社会工程学,比如伪造招聘信息、发送钓鱼邮件、冒充客服套取验证码。
; I3 t7 S- \5 O& A( B) c1 v+ I; X6 }+ p4 R/ Q: k+ s
朝韩同文同种,语言障碍为零,这让针对韩国员工和用户的定向钓鱼攻击成功率大幅提升。
7 p8 L% B! j% a  b* X; ^/ T9 F
$ Z6 d5 o4 d* H* u被盗的钱去哪了?这可能才是故事最有看点的部分。
0 s) T* ?0 u! [. @, V) E' V( F9 ~7 I+ b0 a  }8 g/ s
根据联合国报告和多家区块链分析公司的追踪,Lazarus 窃取的加密货币最终流向了朝鲜的核武器和弹道导弹计划% b2 H8 m1 P6 T( Q5 Q6 W
9 x; N' {% b( w4 v+ V
此前,路透社援引一份联合国机密报告称,朝鲜使用被盗的加密货币资金来帮助资助其导弹开发计划。, N7 y. s% g2 U) g; S/ [

* c* [0 i1 h: {( v# o2023 年 5 月,白宫副国家安全顾问 Anne Neuberger 公开表示,朝鲜导弹计划约 50% 的资金来自网络攻击和加密货币盗窃;这一比例相比她 2022 年 7 月给出的「约三分之一」进一步上升。
. d* A4 a9 K; }2 X% a, t3 p0 N: i. e8 `' R. F
换句话说,每一次韩国交易平台被盗,都可能在间接为三八线对面的核弹头添砖加瓦。3 U' _) M* h: E. M
) L  Z' z7 E/ n0 m, M4 m
同时,洗钱路径已经相当成熟:被盗资产先通过「剥离链」技术拆分成无数小额交易,再经由混币器(如 Tornado Cash、Sinbad)混淆来源,然后通过朝鲜自建的交易平台以折扣价兑换成比特币,最后通过中俄的地下渠道兑换成法币。
# g7 H% ]; L" Y8 b
/ B5 W% g- e, x) T1 h- N- s2019 年 Upbit 被盗的 34.2 万枚 ETH,韩国警方正式公布调查结果显示: 57% 在疑似朝鲜运营的三家交易平台以低于市场价 2.5% 的价格兑换成比特币,剩余 43% 通过 13 个国家的 51 家交易平台洗白。整个过程历时数年,至今绝大部分资金仍未追回。. Q6 t3 n. C( e* |% I/ D
& [& {0 ?# {2 w) t/ O
这或许是韩国交易平台面临的根本困境:
' ?8 T6 X& J- s; ?. a$ v
9 N% r+ ~2 H. w6 N. M  o: C* t" _2 ^一边是 Lazarus,一支拥有国家资源支持、可以 24 小时轮班作业、不计成本投入的黑客部队;另一边是 Upbit、Bithumb 这样的商业公司。
, C% h- ~2 U4 o5 j, a) M
9 m% R' T' ~; L; c' ~: z& q% I即便是通过审查的头部交易平台,在面对国家级高持续性威胁攻击时,依然力不从心。1 ^/ y7 w$ j$ q0 i
6 e3 q- n* ~; w1 w: E9 I
不只是韩国的问题
# n" ^) E# ?6 v2 x# G, ]八年、十余起攻击、约 2 亿美元损失,如果只把这当作韩国加密行业的本地新闻,就错过了更大的图景。
+ }4 V5 [$ F6 X" q4 z( `
& j1 [0 I$ a* S2 G5 j' s韩国交易平台的遭遇,是加密行业与国家级对手博弈的预演。8 o) A) u* J- Q! A6 M- `: I6 |
0 `( ^/ Q' N" A$ O1 L
朝鲜是最显眼的玩家,但不是唯一的玩家。俄罗斯某些高威胁攻击组织被指与多起 DeFi 攻击存在关联,伊朗黑客曾针对以色列加密公司发动攻击,朝鲜自己也早已把战场从韩国扩展到全球,比如 2025 年 Bybit 的 15 亿美元、2022 年 Ronin 的 6.25 亿美元,受害者遍布各大洲。
% C+ q  z1 H9 y( \" V- |6 h
; s) W) X  A7 H5 ?+ T+ b0 v2 ^6 P) l# C
加密行业有一个结构性矛盾,即一切必须经过中心化的入口。0 P, E3 S4 L; v( O
  h; f4 r$ V' K
无论链本身多么安全,用户的资产终究要通过交易平台、跨链桥、热钱包这些「咽喉要道」流动。
7 [+ ?5 C; [5 y6 M& U$ k- n  T% ~4 `. v6 ^6 M2 \( _) Z
这些节点集中了海量资金,却由预算有限的商业公司运营;对国家级黑客而言,这是效率极高的狩猎场: D0 v) p4 n4 ~" r

+ D" u; G' F$ @攻防双方的资源从根本上不对等,Lazarus 可以失败一百次,交易平台只能失败一次。4 T) h, L9 U' V/ c% _

# \, ~3 w* o. v* d" _5 E2 ~. @泡菜溢价还会继续吸引全球套利者和本土散户,Lazarus 不会因为被bao光而停手,韩国交易平台与国家级黑客的攻防战远未结束。4 F6 I- Y$ s2 ~0 V1 d
/ \/ C) A( K) {& `
只是希望下一次被盗的,不是你自己的钱。" [" K/ ^8 U+ D. S6 Q3 Q0 g
, l, F" X0 z1 P  t: I9 G

& Z" e. C6 D4 O" f5 e3 ~/ ~% [. ~( ]4 h0 Z, g& M7 ]" E& `' u$ _# W

: }' {1 ~& e4 w1 M2 X3 ]( o: X$ V8 {3 [: S1 X
+ h9 m$ X" N5 k1 o# K0 ?: g# ?6 D
- \, @0 P8 h: Z1 \8 h5 S
作者: 22301    时间: 2025-11-28 07:49
这个被盗了也是很无奈的事情了。
作者: 赚钱小样    时间: 2025-11-28 10:44
这个核心方面也是很重要的啦。
作者: whywhy    时间: 2025-11-28 14:46
又是盗币事件,Upbit 运气真糟糕,540 亿韩元不是小数目啊
作者: rainwang    时间: 2025-11-28 15:25
如此特别的结果,看来真的是有意思了
作者: 垂钓园    时间: 2025-11-28 18:37
这操作太狠了,连SPL代币都不放过,Upbit真是躺枪啊
作者: 爱美的女人    时间: 2025-11-28 21:08
再次被盗也是没有太安全了
作者: 右耳    时间: 2025-11-29 12:59
Upbit这平台真够背,又双叒叕被盯上了,这回损失也太大了
作者: 舞出精彩    时间: 2025-11-29 14:19
那是要在看是什么样的先吧
作者: 小作文    时间: 2025-11-30 13:34
六年前就中过招,Upbit这风控是真让人心累,大额提现还是冷钱包靠谱点
作者: g9527    时间: 2025-12-1 21:42
又是Upbit被盗,这安全漏洞也太吓人了
作者: 德罗星    时间: 2025-12-3 18:28
很是非常的转载的情况的啊。
作者: 叫我十三    时间: 2025-12-5 07:22
这波 Upbit 真是魔咒了,又到这天就出事,安全还能信吗
作者: whywhy    时间: 2025-12-8 13:36
又被盗了,Upbit 这次损失惨重啊,教训总结要及时,防范措施也得加强
作者: g9527    时间: 2025-12-10 17:58
这Upbit咋又给掏空了,六年了还是不长记性啊
作者: g9527    时间: 2025-12-16 19:13
这Upbit咋又双叒叕被一锅端了,六年了还没长记性啊
作者: g9527    时间: 2025-12-19 20:56
这Upbit六年了咋还这么不长记性,热钱包跟自家后院似的
作者: 右耳    时间: 2025-12-26 19:11
哎,又见老平台出事,真是让人心里拔凉拔凉的
作者: 叫我十三    时间: 2026-1-6 00:30
哎,这Upbit也是没谁了,隔几年就被盯上一次,这链上战场真不是闹着玩的
作者: g9527    时间: 2026-1-13 19:29
这Upbit咋又中招了,热钱包跟不设防似的
作者: 右耳    时间: 2026-1-16 17:56
这操作跟割韭菜似的,平台不牢靠,钱包比命还金贵
作者: g9527    时间: 2026-1-17 18:42
这Upbit六年了还不长记性,热钱包跟公共厕所似的谁都能进



欢迎光临 优惠论坛 (https://www.tcelue.cc/) Powered by Discuz! X3.1