优惠论坛

标题: 六年后同一天再次被盗:Upbit成韩朝「链上战场」核心(转) [打印本页]
作者: caoch    时间: 2025-11-28 00:19
标题: 六年后同一天再次被盗:Upbit成韩朝「链上战场」核心(转)
市场反弹了,但交易平台又被盗了。* J) l0 @+ z& q4 K, w+ Q

8 ^& n, H, l" Z% }) i11 月 27 日,韩国最大的加密货币交易平台 Upbit 确认发生安全漏洞,导致价值约 540 亿韩元(约 3680 万美元)的资产流失。
/ x% y1 k+ L/ I3 Z- ]( |1 N/ f
+ H1 }! c4 E1 A, a4 c& \首尔时间 11 月 27 日凌晨 04:42(KST),当大多数韩国交易员还在沉睡时,Upbit 的 Solana 热钱包地址出现了异常的大规模资金流出。, O5 D: {: C; Y- [; O6 u

' s  b2 h1 X; [& u$ c9 h1 Y据慢雾等安全机构的链上监测数据,攻击者并未采取单一资产转移的方式,而是对 Upbit 在 Solana 链上的资产进行了「清空式」掠夺。; d. a0 F. Z1 _1 g

  J" }8 \* c/ a2 [  X3 }被盗资产不仅包含核心代币 SOL 和稳定币 USDC,还覆盖了 Solana 生态内几乎所有主流的 SPL 标准代币。
. x- @& j2 y$ c* Z4 D0 l, }
9 M) w" x6 ~/ V
$ s+ o/ d2 O2 P' {+ A被盗资产清单(部分):# U5 R: w1 z! n' Q* \" u

4 p( x1 }- _& S· DeFi/基础设施类:JUP (Jupiter), RAY (Raydium), PYTH (Pyth Network), JTO (Jito), RENDER, IO 等。4 `. K' }- Z+ I1 B. W

  d/ R, s6 I* C! ^- P· Meme/社区类:BONK, WIF, MOODENG, PENGU, MEW, TRUMP 等。
( M+ q2 g, w8 e6 Q: ]$ Q! ?+ v9 t( |! B0 i: b6 a5 Y: n* H; G7 V
· 其他项目:ACS, DRIFT, ZETA, SONIC 等。4 @, T/ e6 S9 Y" }, q. T  |5 q
2 B% D+ |( r8 l4 k, l) a/ L
这种一锅端的特征表明,攻击者极有可能获取了 Upbit 负责 Solana 生态热钱包的私钥权限,或者是签名服务器(Signing Server)遭到了直接控制,导致其能够对该钱包下的所有 SPL 代币进行授权转移。
1 ]6 ]0 {- Q( W6 _6 s5 R& y, X- k$ a6 X0 e; w& V" m* U
对于 Upbit 这家占据韩国 80% 市场份额、以拥有韩国互联网振兴院(KISA)最高安全等级认证为傲的巨头来说,这无疑是一次惨痛的「破防」。
) ~+ k3 \6 B1 n8 |+ R! G9 y7 F4 ~0 y0 l, a. s* n$ W  }* X
不过,这也不是韩国交易平台第一次被盗了。
! ?7 b1 I/ B, c1 G9 P% G- D1 T4 i/ ]5 `0 l' m+ x& {& X; V
如果将时间轴拉长,我们会发现韩国加密市场在过去八年里,实际上一直在被黑客,尤其是朝鲜黑客光顾。
( I4 R5 ~/ @3 T3 R, r( F9 G4 g7 i) J9 y, g3 y/ u
韩国加密市场,不仅是全球最疯狂的散户赌场,也是北朝鲜黑客最顺手的「提款机」。8 d' C3 c& D5 ?  Y3 v

; Y6 N) S) ~+ H八年朝韩攻防,被盗编年史) }& D- C1 z' o& Q8 y
从早期的暴力破解到后来的社会工程学渗透,攻击手段不断进化,韩国交易平台的受难史也随之延长。
0 N! m3 q+ W4 U9 K3 C8 J
, K3 C7 y  t( v0 K2 d; m+ ?! V累计损失:约 2 亿美元(按被盗时价格;若按当前价格计算超过 12 亿美元,其中仅 2019 年 Upbit 被盗的 34.2 万枚 ETH 现值已超 10 亿美元)
6 D, p' R5 @& T/ _& ?& x2 Z9 [! W( M  O# P4 y2 U, F) c
· 2017:蛮荒时代,黑客从员工电脑下手
/ |8 C( K7 R8 W. _5 K! v2 x, e* [3 F2017 年是加密牛市的起点,也是韩国交易平台噩梦的开始。- ?8 o+ G5 I8 Q5 X' D- ^% R

& C- L: A) ~9 g这一年,韩国最大的交易平台 Bithumb 率先「中招」。6 月,黑客入侵了一名 Bithumb 员工的个人电脑,窃取了约 31,000 名用户的个人信息,随后利用这些数据对用户发起定向钓鱼攻击,卷走约 3200 万美元。事后调查发现,员工电脑上存储着未加密的客户数据,公司甚至没有安装基本的安全更新软件。
5 a- @4 Y: D% L( _6 h# X% u
" z" G' y0 @: ]% p; z这暴露了当时韩国交易平台安全管理的草台状态,连「不要在私人电脑存客户数据」这种常识都没有建立。
5 l  v& K% F3 p* T6 i- f, N8 Z) d# A
更具标志性意义的是中型交易平台 Youbit 的覆灭。这家交易平台在一年内遭受了两次毁灭性打击:4 月份丢失近 4000 枚比特币(约 500 万美元),12 月再次被盗走 17% 的资产。不堪重负的 Youbit 宣布破产,用户只能先提取 75% 的余额,剩余部分需等待漫长的破产清算。
- T* X  g" x9 V, \+ ?. o/ G) w% X$ L( B8 [+ F
Youbit 事件后,韩国互联网安全局(KISA)首次公开指控朝鲜是幕后黑手。这也向市场发出了一个信号:
4 V) j4 T6 `7 \9 l2 s1 B% @6 ]) x6 n; H. W! U. \
交易平台面对的不再是普通网络窃贼,而是有着地缘ZZ目的的国家级黑客组织。. `. `$ J) j" H6 g5 ]

- E5 S7 Q0 m. D$ X2 D! @, ^. L8 U· 2018:热钱包大劫案
2 x4 k' j& e& g1 y# k2018 年 6 月,韩国市场经历了连续重创。
, B9 W/ ~3 {+ X0 a$ r5 h( C/ v& k0 v
6 月 10 日,中型交易平台 Coinrail 遭遇袭击,损失超过 4000 万美元。与此前不同,这次黑客主要掠夺的是当时火热的 ICO 代币(如 Pundi X 的 NPXS),而非比特币或以太坊。消息传出后,比特币价格短时暴跌超过 10%,整个加密市场在两天内蒸发超过 400 亿美元市值。8 t4 t9 H4 s; N" n- E

! G5 ^# E: `  w. i仅仅十天后,韩国头部交易平台 Bithumb 也宣告失守,热钱包被盗走约 3100 万美元的 XRP 等代币。讽刺的是,攻击发生前几天,Bithumb 刚在推特上宣布正在「将资产转移至冷钱包以升级安全系统」。* T# K6 _- o. O( X- Y" x# l" _

9 [5 J% H# p# d  O# a! n这是 Bithumb 一年半内第三次被黑客「光顾」。; B$ J( E+ }8 y+ ?' j% p

9 J0 L+ {( F/ S, \6 E( e「连环爆雷」严重打击了市场信心。事后,韩国科技部对国内 21 家交易平台进行安全审查,结果显示只有 7 家通过全部 85 项检查,剩余 14 家「随时可能暴露于黑客攻击风险中」,其中 12 家在冷钱包管理方面存在严重漏洞。6 a+ {( B8 F( T+ c5 J

; I8 K- a! ^& c, b% U' g* o· 2019:Upbit 的 342,000 枚 ETH 被盗' \% ]9 `+ Y* W+ w
2019 年 11 月 27 日,韩国最大交易平台 Upbit 遭遇了当时国内史上最大规模的单笔盗窃。. F! ?' [9 f) q  Y$ N- a5 X

4 p+ c3 A1 d. [% J黑客利用交易平台整理钱包的间隙,单笔转走了 342,000 枚 ETH。他们没有立即砸盘,而是通过「剥离链」(Peel Chain)技术,将资金拆解成无数笔小额交易,层层转移,最终流入数十家非 KYC 交易平台和混币器。1 F; |& {( o- A7 T$ s# F. W
) ]) S! r0 ^3 p, y+ W5 ~
调查显示,57% 的被盗 ETH 以低于市场价 2.5% 的折扣在疑似朝鲜运营的交易平台兑换成比特币,剩余 43% 通过 13 个国家的 51 家交易平台洗白。
' }( H  N& o6 r- R
8 Q7 ~+ J1 a$ |- R: N0 H" |7 Y1 p0 P9 s直到五年后的 2024 年 11 月,韩国警方才正式确认该案系朝鲜黑客组织 Lazarus Group 和 Andariel 所为。调查人员通过 IP 追踪、资金流向分析,以及攻击代码中出现的朝鲜特有词汇「흘한 일」(意为「不重要」)锁定了攻击者身份。
! o& Y9 i% v& r, M7 u) u
. z9 N5 r: M- N* ]- v6 o韩国当局与美国 FBI 合作追踪资产,历经四年司法程序,最终从瑞士一家交易平台追回 4.8 枚比特币(约 6 亿韩元),并于 2024 年 10 月归还 Upbit。" i5 q2 _% y% W  `6 H/ h
3 K- Y  y' K6 `* }' v
不过相比被盗总额,这点追回几乎可以忽略不计。1 A6 _3 L  f0 P' o
) O/ b1 `; H/ J$ o
· 2023:GDAC 事件
  E6 ~3 w. O/ z9 |- z2023 年 4 月 9 日,中型交易平台 GDAC 遭遇攻击,损失约 1300 万美元——占其托管总资产的 23%。
6 _* ]4 ~9 u0 ]. H# _* F( ~/ F4 v+ B; r
被盗资产包括约 61 枚 BTC、350 枚 ETH、1000 万枚 WEMIX 代币和 22 万 USDT。黑客控制了 GDAC 的热钱包,并迅速将部分资金通过 Tornado Cash 混币器洗白。
2 M; V; j! m: W) t; M2 H, _7 @
6 d5 n# s  p4 v· 2025:六年后的同一天,Upbit 再次沦陷
+ I9 g4 ]8 D% t" p' J( _. n- m7 S六年前的同一天(11 月 27 日),Upbit 曾损失 342,000 枚 ETH。
/ u+ d) h( C+ h+ A: m( R7 E1 U
4 H; d+ ]6 o, W6 ]; l历史再次重演。凌晨 4:42,Upbit 的 Solana 热钱包出现异常资金流出,约 540 亿韩元(3680 万美元)的资产被转移至未知地址。5 p. t4 s% Z+ n' q- f7 Q; U* y

  s/ e  y" s& Q6 H4 S0 G8 |* F2019 年 Upbit 事件之后,2020 年韩国正式实施《特定金融信息法》(特金法),要求所有交易平台取得 ISMS(信息安全管理体系)认证并在银行开设实名账户。大量无法达标的小型交易平台被迫退出市场,行业格局从「百所混战」收缩为少数几家巨头主导。Upbit 凭借 Kakao 系的资源背书和认证的通过,市场份额一度超过 80%。9 g: |2 }0 m7 L( n# p
2 S" n$ s1 d6 N8 L4 M" ~
但六年的合规建设,并没有让 Upbit 逃过这一劫。
$ S5 q* e( L4 }. _1 I- c# W: W, t# F( G+ D: ]
截至发稿,Upbit 已宣布将用自有资产全额赔付用户损失,但关于攻击者身份和具体攻击路径,官方尚未公布详细信息。
# G, M* F# _$ f5 c' L
. g4 ^  U; \7 M泡菜溢价 、国家级黑客与核武器
$ N% v3 X% O) a# R- R" F( f韩国交易平台频频被盗并非单纯的技术无能,而是地缘ZZ的悲剧投影。
  W& G2 b8 E& v5 ?" c5 I0 R& R4 I* G* z1 r5 ?9 {% Y8 ]  H
在一个高度中心化、流动性溢价极高且地理位置特殊的市场,韩国交易平台实际上是在用一家商业公司的安防预算,去对抗一个拥有核威慑诉求的国家级黑客部队。
) h' ^# q* h( ?+ I% [. A7 _$ @$ X5 E( k; J6 F
这支部队有个名字:Lazarus Group
0 V+ C% S5 e- _, }+ K3 T
8 A, k6 e* ^1 eLazarus 隶属于朝鲜侦察总局(RGB),是平壤最精锐的网络战力量之一。
# c6 [. j& i5 v5 I
% c: H3 c6 }" I# H在转向加密货币之前,他们已经在传统金融领域证明了自己的实力。. @% I4 A" u& }) j5 G' t& N4 q; f
- O- l% e, D& v* N* @
2014 年攻破索尼影业,2016 年从孟加拉国央行盗走 8100 万美元,2017 年策划了波及 150 个国家的 WannaCry 勒索病毒。& A, k4 Z7 z9 A5 w' o

4 E( K0 q' }& x1 c. o2017 年起,Lazarus 将目标转向加密货币领域。原因很简单:. m2 Y! C6 k4 C3 I

( C' ~$ m4 j- y& V) Q5 n相比传统银行,加密货币交易平台监管更松、安全标准参差不齐,而且一旦得手,资金可以通过链上转移迅速跨境,绕开国际制裁体系。
( U& r, f6 q# z7 y7 b7 ^, z: L9 h( s+ Z& [7 l' |4 Q
而韩国,恰好是最理想的猎场。
, h7 Q# s5 T  ~  `* A8 b$ S" R
! w. Z2 d3 Y+ E# ^第一,韩国是地缘对抗的天然目标。对朝鲜而言,攻击韩国企业不仅能获取资金,还能在「敌国」制造混乱,一举两得。
# f4 T. ?- g# l3 \& K0 z: P& ^; y4 m1 X5 i5 N  Q6 g. G) D( |
第二,泡菜溢价背后是肥美的资金池。韩国散户对加密货币的狂热举世闻名,而溢价的本质是供不应求,大量韩元涌入,追逐有限的加密资产。
& Q" X" W8 V* k% i
5 A4 V8 t1 u; K" H这意味着韩国交易平台的热钱包里,长期躺着远超其他市场的流动性。对黑客来说,这就是一座金矿。9 ?# ~2 `8 n1 u( ~# R$ L7 g
) V& }( K6 a1 A# M& {
第三,语言有优势。Lazarus 的攻击并非只靠技术暴力破解。他们擅长社会工程学,比如伪造招聘信息、发送钓鱼邮件、冒充客服套取验证码。
- s2 q" O6 r- _, l) H# T; \/ d* M+ y; M
朝韩同文同种,语言障碍为零,这让针对韩国员工和用户的定向钓鱼攻击成功率大幅提升。
4 B) z) s# n) U- R* z9 @) J$ u
# _8 d4 K( a; u& u被盗的钱去哪了?这可能才是故事最有看点的部分。2 _0 a3 }, Z* a

/ @8 W* _  ~& J* g) ]- }根据联合国报告和多家区块链分析公司的追踪,Lazarus 窃取的加密货币最终流向了朝鲜的核武器和弹道导弹计划
: |$ q) |4 j- N" S
2 K4 c' H+ l0 N/ k# [0 m此前,路透社援引一份联合国机密报告称,朝鲜使用被盗的加密货币资金来帮助资助其导弹开发计划。
8 B9 d; X% x6 j) P3 T( S& W$ v4 t* m2 {" v6 k  z, [9 U7 G" c2 ]4 l+ o
2023 年 5 月,白宫副国家安全顾问 Anne Neuberger 公开表示,朝鲜导弹计划约 50% 的资金来自网络攻击和加密货币盗窃;这一比例相比她 2022 年 7 月给出的「约三分之一」进一步上升。
; [( N& P  `( A( X) H. I6 [/ Z& D7 U% g% ^; I
换句话说,每一次韩国交易平台被盗,都可能在间接为三八线对面的核弹头添砖加瓦。
1 ^  I) l: L, }
. l3 ?0 p; j6 ]* m* d同时,洗钱路径已经相当成熟:被盗资产先通过「剥离链」技术拆分成无数小额交易,再经由混币器(如 Tornado Cash、Sinbad)混淆来源,然后通过朝鲜自建的交易平台以折扣价兑换成比特币,最后通过中俄的地下渠道兑换成法币。
- j+ G# @; Z( [4 {+ }
% r* j8 G9 j7 U5 P" j. X2019 年 Upbit 被盗的 34.2 万枚 ETH,韩国警方正式公布调查结果显示: 57% 在疑似朝鲜运营的三家交易平台以低于市场价 2.5% 的价格兑换成比特币,剩余 43% 通过 13 个国家的 51 家交易平台洗白。整个过程历时数年,至今绝大部分资金仍未追回。
% B( s4 I! f9 u) x/ P2 T
/ K  E% G- ?7 ]这或许是韩国交易平台面临的根本困境:
9 T) f7 D. L) h  b! w. u0 E4 w( @" s) t
一边是 Lazarus,一支拥有国家资源支持、可以 24 小时轮班作业、不计成本投入的黑客部队;另一边是 Upbit、Bithumb 这样的商业公司。4 d* T. ]% ]* S, @! I
' s! ^3 D2 G" u( D
即便是通过审查的头部交易平台,在面对国家级高持续性威胁攻击时,依然力不从心。
2 T8 A* P# x  n! f9 J7 E! l4 S# j3 a. _. g8 Y
不只是韩国的问题
0 M- p6 D5 o+ g% f  [+ Q2 A八年、十余起攻击、约 2 亿美元损失,如果只把这当作韩国加密行业的本地新闻,就错过了更大的图景。
" O5 w! _6 \5 s0 U& l# a* x
( `  O/ }/ ^) f8 M# a& L6 j$ V( K" p韩国交易平台的遭遇,是加密行业与国家级对手博弈的预演。
- u1 X& S& k: d! T6 M5 ?9 M8 w5 J
3 A. J% p2 }. Q- F朝鲜是最显眼的玩家,但不是唯一的玩家。俄罗斯某些高威胁攻击组织被指与多起 DeFi 攻击存在关联,伊朗黑客曾针对以色列加密公司发动攻击,朝鲜自己也早已把战场从韩国扩展到全球,比如 2025 年 Bybit 的 15 亿美元、2022 年 Ronin 的 6.25 亿美元,受害者遍布各大洲。) G: g6 ~  h' [  ^. Y/ ~9 J

$ T: X/ ?# N$ L7 ?& A9 q6 Z9 g: J* _! \
加密行业有一个结构性矛盾,即一切必须经过中心化的入口。
" p) B8 x+ s! v0 `+ S9 u
! D4 K9 D/ _+ n6 A& q* h4 q9 x无论链本身多么安全,用户的资产终究要通过交易平台、跨链桥、热钱包这些「咽喉要道」流动。; k: G9 Z* j; M  a# U( W* B: N
/ Z0 M9 R' r5 j3 P
这些节点集中了海量资金,却由预算有限的商业公司运营;对国家级黑客而言,这是效率极高的狩猎场
$ ^4 ?: R% G; n
/ |5 ^5 C3 W; t! @! c. M攻防双方的资源从根本上不对等,Lazarus 可以失败一百次,交易平台只能失败一次。
! y4 S' g% r! F0 i1 R
: M1 ]; W; V2 k7 [泡菜溢价还会继续吸引全球套利者和本土散户,Lazarus 不会因为被bao光而停手,韩国交易平台与国家级黑客的攻防战远未结束。
2 a/ ^6 L  `  q. d( A$ y( @) \' Y" Q1 R- K
只是希望下一次被盗的,不是你自己的钱。
/ s3 Y. F6 p: U. `9 W7 v6 m5 [3 I4 O. E  A" r; G! T4 O: {
5 U: S# E4 Y! W$ ?

9 c& ~3 d  Y- Y5 O
/ Z% m9 r/ J  @, T5 m  R: s
4 B4 w" W. k5 ?% ]# t' @: i# m9 _2 T" Y, h7 _
& W. U& c4 |" F' r$ p  l3 R: @& V
作者: 22301    时间: 2025-11-28 07:49
这个被盗了也是很无奈的事情了。
作者: 赚钱小样    时间: 2025-11-28 10:44
这个核心方面也是很重要的啦。



欢迎光临 优惠论坛 (https://www.tcelue.cc/) Powered by Discuz! X3.1