优惠论坛

标题: 六年后同一天再次被盗:Upbit成韩朝「链上战场」核心(转) [打印本页]
作者: caoch    时间: 2025-11-28 00:19
标题: 六年后同一天再次被盗:Upbit成韩朝「链上战场」核心(转)
市场反弹了,但交易平台又被盗了。3 A/ B1 p7 `/ y! }  d% T2 G
9 A# h" C3 I3 X, Z( R% N: }' z
11 月 27 日,韩国最大的加密货币交易平台 Upbit 确认发生安全漏洞,导致价值约 540 亿韩元(约 3680 万美元)的资产流失。
: s5 A5 v; Z  d$ q$ X9 k7 x
$ Z- |2 N1 r- L5 v# ~5 ]首尔时间 11 月 27 日凌晨 04:42(KST),当大多数韩国交易员还在沉睡时,Upbit 的 Solana 热钱包地址出现了异常的大规模资金流出。
5 K( e* ~7 e! ~( a7 C7 G
, s9 a2 v* m! `" r# m$ f据慢雾等安全机构的链上监测数据,攻击者并未采取单一资产转移的方式,而是对 Upbit 在 Solana 链上的资产进行了「清空式」掠夺。
+ s8 R2 U+ H1 j5 _) C* Q
1 k; X: y: r" `" J! M2 Q, U6 H2 W被盗资产不仅包含核心代币 SOL 和稳定币 USDC,还覆盖了 Solana 生态内几乎所有主流的 SPL 标准代币。, H0 P* d! e' [

+ j' d; E& W& j+ c9 P5 ]- C5 Z1 _; X& y# ^% Z& J
被盗资产清单(部分):+ Q& f# V/ F. p% ^0 i- t) A  k

7 c" Y) N- T# i) e5 ~· DeFi/基础设施类:JUP (Jupiter), RAY (Raydium), PYTH (Pyth Network), JTO (Jito), RENDER, IO 等。
+ C1 F! m& v) ^! u5 Z& N2 X' q; Y" e- v, W$ M
· Meme/社区类:BONK, WIF, MOODENG, PENGU, MEW, TRUMP 等。) }! B' m; m0 ^( N  l# L/ {
6 H8 U) y) n% T1 A' |7 ?/ _
· 其他项目:ACS, DRIFT, ZETA, SONIC 等。
4 G2 W  K0 q6 y+ n' E7 D) o& e: ?5 g1 G7 S1 j; Z7 Z  W! _, N$ M
这种一锅端的特征表明,攻击者极有可能获取了 Upbit 负责 Solana 生态热钱包的私钥权限,或者是签名服务器(Signing Server)遭到了直接控制,导致其能够对该钱包下的所有 SPL 代币进行授权转移。
5 l6 W5 c0 h! F) C  R5 D
5 ^) O" |1 }7 }对于 Upbit 这家占据韩国 80% 市场份额、以拥有韩国互联网振兴院(KISA)最高安全等级认证为傲的巨头来说,这无疑是一次惨痛的「破防」。
: i, x/ A$ k0 M7 L  q) m* A- ^" a$ G0 e) p$ A0 s
不过,这也不是韩国交易平台第一次被盗了。
) i- ]  O% @* L1 @6 d  U: o' j
7 ?% L' `3 Q7 A. m如果将时间轴拉长,我们会发现韩国加密市场在过去八年里,实际上一直在被黑客,尤其是朝鲜黑客光顾。* F1 p5 e% p7 f9 s' Z4 F% T. F  i
3 }( w& y6 S/ G' }2 W& H" ?
韩国加密市场,不仅是全球最疯狂的散户赌场,也是北朝鲜黑客最顺手的「提款机」。6 h0 d6 j6 ~1 T; K. h: d

) z' A+ l1 g/ g7 G2 _( P八年朝韩攻防,被盗编年史% m% D0 W+ O% a+ O
从早期的暴力破解到后来的社会工程学渗透,攻击手段不断进化,韩国交易平台的受难史也随之延长。+ c- d0 M; r& ^& O+ H! s/ p
! j8 t1 O3 x) f6 ~- F* }5 j
累计损失:约 2 亿美元(按被盗时价格;若按当前价格计算超过 12 亿美元,其中仅 2019 年 Upbit 被盗的 34.2 万枚 ETH 现值已超 10 亿美元)2 }' B5 p! ], ~) _  v3 S% v+ F; A2 ~
1 b, r. Y4 u2 \& H5 h0 S
· 2017:蛮荒时代,黑客从员工电脑下手
# k" C. [* h0 o$ G6 j8 p6 f  q$ E2017 年是加密牛市的起点,也是韩国交易平台噩梦的开始。/ @' |! ]5 I) M% W4 |$ k
- s* |9 q- z, z+ A
这一年,韩国最大的交易平台 Bithumb 率先「中招」。6 月,黑客入侵了一名 Bithumb 员工的个人电脑,窃取了约 31,000 名用户的个人信息,随后利用这些数据对用户发起定向钓鱼攻击,卷走约 3200 万美元。事后调查发现,员工电脑上存储着未加密的客户数据,公司甚至没有安装基本的安全更新软件。: o, L8 m' S7 o8 z2 S

% x# l! ^8 _7 B' ?, n. V9 ~9 }1 W4 }这暴露了当时韩国交易平台安全管理的草台状态,连「不要在私人电脑存客户数据」这种常识都没有建立。5 V" U" S  ]! o3 ^5 [3 n( h2 q; i
0 K, `: K9 @4 m/ }; g! B$ \
更具标志性意义的是中型交易平台 Youbit 的覆灭。这家交易平台在一年内遭受了两次毁灭性打击:4 月份丢失近 4000 枚比特币(约 500 万美元),12 月再次被盗走 17% 的资产。不堪重负的 Youbit 宣布破产,用户只能先提取 75% 的余额,剩余部分需等待漫长的破产清算。
2 I( P, f8 J- e9 c- K
8 Y9 O& r/ S7 o$ u! b0 EYoubit 事件后,韩国互联网安全局(KISA)首次公开指控朝鲜是幕后黑手。这也向市场发出了一个信号:
0 {% s; }# }6 ?( k7 f( t* i2 X; K
! P# X. x) \3 N) w交易平台面对的不再是普通网络窃贼,而是有着地缘ZZ目的的国家级黑客组织。
+ O/ l6 r8 e& R; q- |$ ]2 m  k- ^) q! p$ x
· 2018:热钱包大劫案1 b. U$ ~: E- J- m
2018 年 6 月,韩国市场经历了连续重创。; b% p: ]! ^! L) u
3 B: u2 m$ I6 H7 G+ ~
6 月 10 日,中型交易平台 Coinrail 遭遇袭击,损失超过 4000 万美元。与此前不同,这次黑客主要掠夺的是当时火热的 ICO 代币(如 Pundi X 的 NPXS),而非比特币或以太坊。消息传出后,比特币价格短时暴跌超过 10%,整个加密市场在两天内蒸发超过 400 亿美元市值。9 t; n) o3 Q  W

# ~1 m) Z5 m' r; J: a1 y5 ~% f仅仅十天后,韩国头部交易平台 Bithumb 也宣告失守,热钱包被盗走约 3100 万美元的 XRP 等代币。讽刺的是,攻击发生前几天,Bithumb 刚在推特上宣布正在「将资产转移至冷钱包以升级安全系统」。% ^" B! M* ?9 \6 H7 \
, x; N9 ]" a$ R+ U1 k
这是 Bithumb 一年半内第三次被黑客「光顾」。
- E! |+ b6 c6 D) V+ [  b- \; S' H, R  X5 C- V5 ?3 g* s; S4 }' U! g
「连环爆雷」严重打击了市场信心。事后,韩国科技部对国内 21 家交易平台进行安全审查,结果显示只有 7 家通过全部 85 项检查,剩余 14 家「随时可能暴露于黑客攻击风险中」,其中 12 家在冷钱包管理方面存在严重漏洞。
4 g& J8 g: u8 j, g/ Y7 }
$ o0 m# h9 q  x9 F. T· 2019:Upbit 的 342,000 枚 ETH 被盗6 i% r8 m1 Q& G6 b$ g
2019 年 11 月 27 日,韩国最大交易平台 Upbit 遭遇了当时国内史上最大规模的单笔盗窃。% o: H8 p* x+ U4 I' ?# F
2 P& `1 S8 w; x1 e# q
黑客利用交易平台整理钱包的间隙,单笔转走了 342,000 枚 ETH。他们没有立即砸盘,而是通过「剥离链」(Peel Chain)技术,将资金拆解成无数笔小额交易,层层转移,最终流入数十家非 KYC 交易平台和混币器。8 T: f5 H7 n! T. u0 r! L5 E

& n3 n% Q' N' O; a' [4 N2 }调查显示,57% 的被盗 ETH 以低于市场价 2.5% 的折扣在疑似朝鲜运营的交易平台兑换成比特币,剩余 43% 通过 13 个国家的 51 家交易平台洗白。7 y( v4 Z; r: m" `  P3 q( h7 ]; C4 W
9 Y6 P+ U) t. r
直到五年后的 2024 年 11 月,韩国警方才正式确认该案系朝鲜黑客组织 Lazarus Group 和 Andariel 所为。调查人员通过 IP 追踪、资金流向分析,以及攻击代码中出现的朝鲜特有词汇「흘한 일」(意为「不重要」)锁定了攻击者身份。' k6 L3 Z' i. M7 `; c! w
) E* U6 K0 n1 k/ K+ t3 b
韩国当局与美国 FBI 合作追踪资产,历经四年司法程序,最终从瑞士一家交易平台追回 4.8 枚比特币(约 6 亿韩元),并于 2024 年 10 月归还 Upbit。
9 ~9 D$ I( v/ b. [" P# E- F' @( a7 y& W
不过相比被盗总额,这点追回几乎可以忽略不计。
: r* u  P2 v, u, [9 p: @9 A1 B
8 o5 T7 }$ A2 I5 N7 U; M, w3 x; B: L· 2023:GDAC 事件. A+ r9 v' s5 z% Z8 C( a
2023 年 4 月 9 日,中型交易平台 GDAC 遭遇攻击,损失约 1300 万美元——占其托管总资产的 23%。! n) e1 S( T  I' c
, @. x/ P) L4 s2 D" w
被盗资产包括约 61 枚 BTC、350 枚 ETH、1000 万枚 WEMIX 代币和 22 万 USDT。黑客控制了 GDAC 的热钱包,并迅速将部分资金通过 Tornado Cash 混币器洗白。
+ Y! K$ j( L, X7 I* R+ f* U
: D1 x, I, ~2 N4 R5 G/ J· 2025:六年后的同一天,Upbit 再次沦陷& K6 \" Q' v% O* _
六年前的同一天(11 月 27 日),Upbit 曾损失 342,000 枚 ETH。* P3 `% ]5 w; j  L$ u% o

. k# w. H4 |3 q7 D9 H  e历史再次重演。凌晨 4:42,Upbit 的 Solana 热钱包出现异常资金流出,约 540 亿韩元(3680 万美元)的资产被转移至未知地址。
2 X; M2 K: p/ u8 i
# _) B7 J5 k* Q. d2019 年 Upbit 事件之后,2020 年韩国正式实施《特定金融信息法》(特金法),要求所有交易平台取得 ISMS(信息安全管理体系)认证并在银行开设实名账户。大量无法达标的小型交易平台被迫退出市场,行业格局从「百所混战」收缩为少数几家巨头主导。Upbit 凭借 Kakao 系的资源背书和认证的通过,市场份额一度超过 80%。
5 z2 t' i3 m7 l: [- W
4 U3 a0 u, _. Y$ M5 l但六年的合规建设,并没有让 Upbit 逃过这一劫。
7 D# E# V6 o/ g0 w
" Z+ O" ^/ j: c截至发稿,Upbit 已宣布将用自有资产全额赔付用户损失,但关于攻击者身份和具体攻击路径,官方尚未公布详细信息。. B" d! t$ M- K2 `
6 {; c7 Y% k- ^
泡菜溢价 、国家级黑客与核武器
/ C$ j( \' E$ |$ h3 O韩国交易平台频频被盗并非单纯的技术无能,而是地缘ZZ的悲剧投影。/ @3 D" n4 \1 u

* E; E# D1 D9 J在一个高度中心化、流动性溢价极高且地理位置特殊的市场,韩国交易平台实际上是在用一家商业公司的安防预算,去对抗一个拥有核威慑诉求的国家级黑客部队。
2 i! M% B% `, \& H7 A
, x  r1 `  U6 C+ u7 m9 v' t这支部队有个名字:Lazarus Group
0 N) T2 P4 N- Q9 D3 N
: Q9 {! m) `" I6 H7 j! v$ n' i8 h: A6 DLazarus 隶属于朝鲜侦察总局(RGB),是平壤最精锐的网络战力量之一。
9 l- g7 A8 a4 A/ k, i6 s& c) w: i& I+ _9 X
在转向加密货币之前,他们已经在传统金融领域证明了自己的实力。
' M3 u( I+ A! h# _8 C5 m7 ]0 V2 |
# O8 r4 u+ W0 p3 R3 t! G8 F- Y6 O2014 年攻破索尼影业,2016 年从孟加拉国央行盗走 8100 万美元,2017 年策划了波及 150 个国家的 WannaCry 勒索病毒。$ ?, l) P  f8 P5 f; O# K) P
, I: k3 q& q  F4 `$ _
2017 年起,Lazarus 将目标转向加密货币领域。原因很简单:6 h8 q6 Q2 ?- X6 x! M
. O4 f0 L/ g: |  }  K/ M: Z0 }
相比传统银行,加密货币交易平台监管更松、安全标准参差不齐,而且一旦得手,资金可以通过链上转移迅速跨境,绕开国际制裁体系。) I) @, C7 l$ Q
4 J. ~7 ^1 c: E: y# m8 g
而韩国,恰好是最理想的猎场。
4 Q$ |9 x$ l9 l9 |( C* }! n* I, l3 i2 c# \' U5 k6 B! ]8 l; G
第一,韩国是地缘对抗的天然目标。对朝鲜而言,攻击韩国企业不仅能获取资金,还能在「敌国」制造混乱,一举两得。
9 \9 w+ B; q. I/ j
4 z1 u& v) H) X' i  @; M第二,泡菜溢价背后是肥美的资金池。韩国散户对加密货币的狂热举世闻名,而溢价的本质是供不应求,大量韩元涌入,追逐有限的加密资产。) ^  g" _1 L, D" s5 w+ j1 r! L
5 x, n" O3 q3 M( R
这意味着韩国交易平台的热钱包里,长期躺着远超其他市场的流动性。对黑客来说,这就是一座金矿。) M; D. p. L, N9 I, p& G* Y

: k4 F; N, Y* M/ j# J6 I! ]* k6 a) H第三,语言有优势。Lazarus 的攻击并非只靠技术暴力破解。他们擅长社会工程学,比如伪造招聘信息、发送钓鱼邮件、冒充客服套取验证码。8 K+ w( b! W' w6 u7 a; R% v" c; D
6 z; ~* E) S7 ]2 G# q/ L
朝韩同文同种,语言障碍为零,这让针对韩国员工和用户的定向钓鱼攻击成功率大幅提升。: D7 n7 w: n  @7 D. k1 Y

: G0 |* `" k) ?8 x& L被盗的钱去哪了?这可能才是故事最有看点的部分。8 F; ]- t# Y! K3 k

+ }* y- ]4 d& E% y1 f根据联合国报告和多家区块链分析公司的追踪,Lazarus 窃取的加密货币最终流向了朝鲜的核武器和弹道导弹计划
$ w5 s! a" O4 F. t* z; B, H$ C3 P/ d
此前,路透社援引一份联合国机密报告称,朝鲜使用被盗的加密货币资金来帮助资助其导弹开发计划。* X! O% `* k9 V; k. @  e

: S$ S& V! X* I, \4 C2023 年 5 月,白宫副国家安全顾问 Anne Neuberger 公开表示,朝鲜导弹计划约 50% 的资金来自网络攻击和加密货币盗窃;这一比例相比她 2022 年 7 月给出的「约三分之一」进一步上升。( e# Y7 A" j2 q% d& k1 d, {

( w5 u, O8 E' F/ c7 X换句话说,每一次韩国交易平台被盗,都可能在间接为三八线对面的核弹头添砖加瓦。& f' J/ e( T, L5 m! M

$ C3 A9 H* r. ]' @/ F同时,洗钱路径已经相当成熟:被盗资产先通过「剥离链」技术拆分成无数小额交易,再经由混币器(如 Tornado Cash、Sinbad)混淆来源,然后通过朝鲜自建的交易平台以折扣价兑换成比特币,最后通过中俄的地下渠道兑换成法币。
+ L* N8 L& s6 k3 C) G  p; m  b) ~* ^; x+ ?) t9 `7 m% a
2019 年 Upbit 被盗的 34.2 万枚 ETH,韩国警方正式公布调查结果显示: 57% 在疑似朝鲜运营的三家交易平台以低于市场价 2.5% 的价格兑换成比特币,剩余 43% 通过 13 个国家的 51 家交易平台洗白。整个过程历时数年,至今绝大部分资金仍未追回。
1 J7 ^+ A  W% w8 p$ S- }! f/ T. v% A4 j$ @
这或许是韩国交易平台面临的根本困境:
; l0 ~! H2 O, P" i0 L, b" d7 d
4 u2 ~# o6 O; D一边是 Lazarus,一支拥有国家资源支持、可以 24 小时轮班作业、不计成本投入的黑客部队;另一边是 Upbit、Bithumb 这样的商业公司。+ D9 M' n' |! ~8 a6 D4 j

2 H' E" P0 t) \& i, U1 U' ?) C) N即便是通过审查的头部交易平台,在面对国家级高持续性威胁攻击时,依然力不从心。
  L2 V# W* ~, D( z: V. b. ]: ?' f; b5 W. X* |7 h
不只是韩国的问题
# @0 q- n8 E* B3 u8 w八年、十余起攻击、约 2 亿美元损失,如果只把这当作韩国加密行业的本地新闻,就错过了更大的图景。4 O4 e: N- W) K  H  r) M) ^

/ \1 b/ g- i1 [3 ~7 ?* x# k8 r韩国交易平台的遭遇,是加密行业与国家级对手博弈的预演。( E: {6 Y: D3 n( p  y* W

* H& m: `# O- n8 \# g' m朝鲜是最显眼的玩家,但不是唯一的玩家。俄罗斯某些高威胁攻击组织被指与多起 DeFi 攻击存在关联,伊朗黑客曾针对以色列加密公司发动攻击,朝鲜自己也早已把战场从韩国扩展到全球,比如 2025 年 Bybit 的 15 亿美元、2022 年 Ronin 的 6.25 亿美元,受害者遍布各大洲。* X$ _8 d7 q0 Y" Q6 ^8 B# @
1 C, T+ p6 b6 _4 b; M! Z( C

8 M6 j% l9 W0 ~. B加密行业有一个结构性矛盾,即一切必须经过中心化的入口。
0 g* P9 J, o5 y+ l& y) w( w' h0 x5 r7 }
无论链本身多么安全,用户的资产终究要通过交易平台、跨链桥、热钱包这些「咽喉要道」流动。
  }* e* Y1 ]4 e0 H. {# B4 \) W3 r1 g) Q, X
这些节点集中了海量资金,却由预算有限的商业公司运营;对国家级黑客而言,这是效率极高的狩猎场: g( A2 [$ e. o
1 ~; N3 N( i& e( w5 k: v" F
攻防双方的资源从根本上不对等,Lazarus 可以失败一百次,交易平台只能失败一次。
2 k0 a  u$ R! V2 u; F
! c* I: k6 ~  w) b5 Q泡菜溢价还会继续吸引全球套利者和本土散户,Lazarus 不会因为被bao光而停手,韩国交易平台与国家级黑客的攻防战远未结束。. n# {5 h* J4 ?1 x( J

+ s) n; H: r( K" e5 ]3 k  V# J4 v+ A只是希望下一次被盗的,不是你自己的钱。* t! N: d  e) m1 K9 |& e# Q
+ W5 x9 l  b8 I' {

* @, g7 m! S1 ]# P8 |, }4 e
0 }+ t, J3 t. r6 H6 i3 o8 m) T3 F8 U$ m& r# {- [0 x! x6 @8 }
  \% d' Z9 l, c6 I
3 b; S2 a* i7 b' W" A

; p$ _+ w' b3 J+ V& z
作者: 22301    时间: 2025-11-28 07:49
这个被盗了也是很无奈的事情了。
作者: 赚钱小样    时间: 2025-11-28 10:44
这个核心方面也是很重要的啦。
作者: whywhy    时间: 2025-11-28 14:46
又是盗币事件,Upbit 运气真糟糕,540 亿韩元不是小数目啊
作者: rainwang    时间: 2025-11-28 15:25
如此特别的结果,看来真的是有意思了



欢迎光临 优惠论坛 (https://tcelue.tv/) Powered by Discuz! X3.1