优惠论坛

标题: 六年后同一天再次被盗:Upbit成韩朝「链上战场」核心(转) [打印本页]
作者: caoch    时间: 2025-11-28 00:19
标题: 六年后同一天再次被盗:Upbit成韩朝「链上战场」核心(转)
市场反弹了,但交易平台又被盗了。7 }& A2 @3 ?0 e) H0 C1 n
, u( `3 J# A5 ^$ }+ I2 [
11 月 27 日,韩国最大的加密货币交易平台 Upbit 确认发生安全漏洞,导致价值约 540 亿韩元(约 3680 万美元)的资产流失。
  H! |3 W6 \# l* p* H" A, Z2 R, T4 d; X1 l3 n
首尔时间 11 月 27 日凌晨 04:42(KST),当大多数韩国交易员还在沉睡时,Upbit 的 Solana 热钱包地址出现了异常的大规模资金流出。
$ T+ Y7 [% e7 y* W) v- t. }5 n( j" @5 @& }9 W! u$ u; |
据慢雾等安全机构的链上监测数据,攻击者并未采取单一资产转移的方式,而是对 Upbit 在 Solana 链上的资产进行了「清空式」掠夺。9 q) F) Y! a+ o" ]( K

: j5 j& ~. B$ l' l, d. d' F3 [被盗资产不仅包含核心代币 SOL 和稳定币 USDC,还覆盖了 Solana 生态内几乎所有主流的 SPL 标准代币。: j# Q/ s5 M8 E6 W7 O8 d, r
$ I, r) ~! g! B& l& R! R
9 o$ h2 \5 T2 u
被盗资产清单(部分):2 p5 u2 w+ c( g, m6 f$ q. n
6 g4 x0 k. I2 {4 }
· DeFi/基础设施类:JUP (Jupiter), RAY (Raydium), PYTH (Pyth Network), JTO (Jito), RENDER, IO 等。7 J1 t# }) q: _$ t! `* Y8 x2 `

1 w( k! ?1 z: n+ |. i/ w. u' g! j8 ^· Meme/社区类:BONK, WIF, MOODENG, PENGU, MEW, TRUMP 等。
' {- ]: g) }6 z% V& }3 a0 e- f
5 `- ~( u: U/ a- M5 V· 其他项目:ACS, DRIFT, ZETA, SONIC 等。
$ F+ t' F  A- T6 p3 v3 Y% K4 G
& C- T8 W; \: \+ V. P这种一锅端的特征表明,攻击者极有可能获取了 Upbit 负责 Solana 生态热钱包的私钥权限,或者是签名服务器(Signing Server)遭到了直接控制,导致其能够对该钱包下的所有 SPL 代币进行授权转移。
1 U$ Y0 ^) ]3 E  c/ a; v+ o) ]+ n8 x% _) R. u1 c" ~
对于 Upbit 这家占据韩国 80% 市场份额、以拥有韩国互联网振兴院(KISA)最高安全等级认证为傲的巨头来说,这无疑是一次惨痛的「破防」。5 G( v, t% v0 P* X; r- S

5 t8 ?5 R8 O+ ]& [- ]不过,这也不是韩国交易平台第一次被盗了。$ l, U' \. G: F7 t

9 V3 }: E1 d6 Q如果将时间轴拉长,我们会发现韩国加密市场在过去八年里,实际上一直在被黑客,尤其是朝鲜黑客光顾。" Y" i' L* j6 ?1 k0 H$ J9 S
1 @! }0 x5 T- S. B1 T+ b
韩国加密市场,不仅是全球最疯狂的散户赌场,也是北朝鲜黑客最顺手的「提款机」。
8 a  C% T$ n0 {3 h3 H$ Z7 |4 [4 i( z' ~, L/ @1 t: N" X
八年朝韩攻防,被盗编年史
$ q9 ]1 {* g5 M7 s# N1 t0 D从早期的暴力破解到后来的社会工程学渗透,攻击手段不断进化,韩国交易平台的受难史也随之延长。
- F5 p+ C, l1 h6 G) D3 Z# g* {6 [3 E# M. s# x% e9 v3 q  c/ u. u
累计损失:约 2 亿美元(按被盗时价格;若按当前价格计算超过 12 亿美元,其中仅 2019 年 Upbit 被盗的 34.2 万枚 ETH 现值已超 10 亿美元)
% ]; O, t) t# `: ~2 P( J6 s$ |2 L9 ]( h; w! b
· 2017:蛮荒时代,黑客从员工电脑下手, K* B6 H; Q) D) _( X
2017 年是加密牛市的起点,也是韩国交易平台噩梦的开始。, S. @; F1 O2 O7 \
, O8 O# x( E5 z* J. l
这一年,韩国最大的交易平台 Bithumb 率先「中招」。6 月,黑客入侵了一名 Bithumb 员工的个人电脑,窃取了约 31,000 名用户的个人信息,随后利用这些数据对用户发起定向钓鱼攻击,卷走约 3200 万美元。事后调查发现,员工电脑上存储着未加密的客户数据,公司甚至没有安装基本的安全更新软件。
! i, n& G8 W- i; I: U; l- c: H$ P* _& E/ ^( m0 }3 g
这暴露了当时韩国交易平台安全管理的草台状态,连「不要在私人电脑存客户数据」这种常识都没有建立。
! _- d- }5 Q5 u0 j3 R: k( z* e# y" k1 k0 E, ?( \
更具标志性意义的是中型交易平台 Youbit 的覆灭。这家交易平台在一年内遭受了两次毁灭性打击:4 月份丢失近 4000 枚比特币(约 500 万美元),12 月再次被盗走 17% 的资产。不堪重负的 Youbit 宣布破产,用户只能先提取 75% 的余额,剩余部分需等待漫长的破产清算。
$ K2 g! G$ o( R* y* C) a, E
' D1 n' v7 E" T. O$ @3 oYoubit 事件后,韩国互联网安全局(KISA)首次公开指控朝鲜是幕后黑手。这也向市场发出了一个信号:) t3 b4 p- ?0 D# w' F
9 w6 B- w( n0 Z
交易平台面对的不再是普通网络窃贼,而是有着地缘ZZ目的的国家级黑客组织。
1 ?- V5 \7 O8 h4 d4 L8 G+ s; s5 X6 e: C8 P: |9 v* [; u3 k& {
· 2018:热钱包大劫案' e* ?3 J: m" p) L% a6 s
2018 年 6 月,韩国市场经历了连续重创。
+ O$ R2 Y7 V2 H* T$ R; P5 M, H; D# X3 O+ n( u( r6 r; S
6 月 10 日,中型交易平台 Coinrail 遭遇袭击,损失超过 4000 万美元。与此前不同,这次黑客主要掠夺的是当时火热的 ICO 代币(如 Pundi X 的 NPXS),而非比特币或以太坊。消息传出后,比特币价格短时暴跌超过 10%,整个加密市场在两天内蒸发超过 400 亿美元市值。
/ q% z  N0 d" D0 @  }% T- p" F( D+ e4 R- @4 L4 g
仅仅十天后,韩国头部交易平台 Bithumb 也宣告失守,热钱包被盗走约 3100 万美元的 XRP 等代币。讽刺的是,攻击发生前几天,Bithumb 刚在推特上宣布正在「将资产转移至冷钱包以升级安全系统」。
8 O4 Y8 J2 i# O2 i
! D$ M. x/ T3 `" Y. b这是 Bithumb 一年半内第三次被黑客「光顾」。, s. |  ?1 ^" z8 l
. n4 O+ Z7 Q& D/ |
「连环爆雷」严重打击了市场信心。事后,韩国科技部对国内 21 家交易平台进行安全审查,结果显示只有 7 家通过全部 85 项检查,剩余 14 家「随时可能暴露于黑客攻击风险中」,其中 12 家在冷钱包管理方面存在严重漏洞。* ?9 w  c. q6 @# e

2 c# ?, E( l; D- v% o  z4 V· 2019:Upbit 的 342,000 枚 ETH 被盗. D4 E& h5 T1 z0 q
2019 年 11 月 27 日,韩国最大交易平台 Upbit 遭遇了当时国内史上最大规模的单笔盗窃。
& ^  ^3 d& X, J- X" r# Z3 u# f5 I: ?
黑客利用交易平台整理钱包的间隙,单笔转走了 342,000 枚 ETH。他们没有立即砸盘,而是通过「剥离链」(Peel Chain)技术,将资金拆解成无数笔小额交易,层层转移,最终流入数十家非 KYC 交易平台和混币器。
6 S/ }! z3 @* P+ y) C, S! f% h! x3 R& J+ P; {
调查显示,57% 的被盗 ETH 以低于市场价 2.5% 的折扣在疑似朝鲜运营的交易平台兑换成比特币,剩余 43% 通过 13 个国家的 51 家交易平台洗白。
: _1 S; e; X. U* ?/ C# ~% H$ m6 r+ G( a& {' D
直到五年后的 2024 年 11 月,韩国警方才正式确认该案系朝鲜黑客组织 Lazarus Group 和 Andariel 所为。调查人员通过 IP 追踪、资金流向分析,以及攻击代码中出现的朝鲜特有词汇「흘한 일」(意为「不重要」)锁定了攻击者身份。5 S* y+ J5 O; J  ]

; u2 t/ S# P6 K. K/ Q韩国当局与美国 FBI 合作追踪资产,历经四年司法程序,最终从瑞士一家交易平台追回 4.8 枚比特币(约 6 亿韩元),并于 2024 年 10 月归还 Upbit。1 R, k, q) X4 \4 L% t

% U3 d1 b* \- ^/ r" ~不过相比被盗总额,这点追回几乎可以忽略不计。7 ?( N( _8 O' c3 o. A: L
3 ^' n2 l- C% j3 |8 V: ?
· 2023:GDAC 事件# ]/ K4 w# |# w$ y5 P9 U
2023 年 4 月 9 日,中型交易平台 GDAC 遭遇攻击,损失约 1300 万美元——占其托管总资产的 23%。
# Z: s& j& s6 T! }3 l7 l# S& b# M
被盗资产包括约 61 枚 BTC、350 枚 ETH、1000 万枚 WEMIX 代币和 22 万 USDT。黑客控制了 GDAC 的热钱包,并迅速将部分资金通过 Tornado Cash 混币器洗白。
5 P& b7 C& E0 S" b8 ~! h2 J# A  S- v! k* ~
· 2025:六年后的同一天,Upbit 再次沦陷; A; r1 X1 X6 K1 F& v) r- }. _
六年前的同一天(11 月 27 日),Upbit 曾损失 342,000 枚 ETH。4 P/ X* E1 p; M3 G( e

, ~4 E% K3 T& R3 V/ G历史再次重演。凌晨 4:42,Upbit 的 Solana 热钱包出现异常资金流出,约 540 亿韩元(3680 万美元)的资产被转移至未知地址。) R, l; |$ b' q8 P

4 G# _) w3 u5 u; o2019 年 Upbit 事件之后,2020 年韩国正式实施《特定金融信息法》(特金法),要求所有交易平台取得 ISMS(信息安全管理体系)认证并在银行开设实名账户。大量无法达标的小型交易平台被迫退出市场,行业格局从「百所混战」收缩为少数几家巨头主导。Upbit 凭借 Kakao 系的资源背书和认证的通过,市场份额一度超过 80%。8 T; _: U9 @! M/ {) Y- M

7 N+ b; l, [8 Y; x/ q9 X但六年的合规建设,并没有让 Upbit 逃过这一劫。( m9 N6 ^' a7 M

6 C6 ~1 Q" H; L& b; i- g截至发稿,Upbit 已宣布将用自有资产全额赔付用户损失,但关于攻击者身份和具体攻击路径,官方尚未公布详细信息。
: y! V! a7 H: O8 r: i
8 v' i3 z" {) A# Z. k* `泡菜溢价 、国家级黑客与核武器
8 I$ q6 s& Q; W2 C韩国交易平台频频被盗并非单纯的技术无能,而是地缘ZZ的悲剧投影。
; j" O/ F% }" d! q$ J" ?! ?! g6 A. H1 R8 o
在一个高度中心化、流动性溢价极高且地理位置特殊的市场,韩国交易平台实际上是在用一家商业公司的安防预算,去对抗一个拥有核威慑诉求的国家级黑客部队。) e4 o5 _. _& w; C) x$ L8 R

1 p8 g1 o8 h0 U这支部队有个名字:Lazarus Group
7 z3 ~# Y0 W, W9 I! x, S) _. z6 E/ T) s
Lazarus 隶属于朝鲜侦察总局(RGB),是平壤最精锐的网络战力量之一。
" I1 _0 J: K8 E0 ~8 s3 ^! ~
, w7 H8 u1 E5 P5 _" L9 H& ~8 A在转向加密货币之前,他们已经在传统金融领域证明了自己的实力。
4 ?2 Z; k/ N0 f" @
! ]$ K* Z" \; a! w) R- v2014 年攻破索尼影业,2016 年从孟加拉国央行盗走 8100 万美元,2017 年策划了波及 150 个国家的 WannaCry 勒索病毒。, E& Y' u; S: N/ r1 ~% @* D7 ?, i
; R5 x( [& u1 h, ^# D
2017 年起,Lazarus 将目标转向加密货币领域。原因很简单:/ \2 f. C+ `% D" z, e0 h) Q  Q
9 c! N7 }2 J/ z" i, L3 P" F( }
相比传统银行,加密货币交易平台监管更松、安全标准参差不齐,而且一旦得手,资金可以通过链上转移迅速跨境,绕开国际制裁体系。, j( {0 r, Q+ b- }  p: [
& {  A6 o9 d6 O5 }0 S% z$ ^
而韩国,恰好是最理想的猎场。; d  z! A. o+ w( t

( ~4 u: R; ?8 }第一,韩国是地缘对抗的天然目标。对朝鲜而言,攻击韩国企业不仅能获取资金,还能在「敌国」制造混乱,一举两得。
( r, `& T0 T3 o/ d" m& H
7 w! Q. [! d7 B/ _" j* c第二,泡菜溢价背后是肥美的资金池。韩国散户对加密货币的狂热举世闻名,而溢价的本质是供不应求,大量韩元涌入,追逐有限的加密资产。
. h) }7 U1 L2 u0 ~8 {* h- L- A4 l% E
这意味着韩国交易平台的热钱包里,长期躺着远超其他市场的流动性。对黑客来说,这就是一座金矿。
. J9 J2 u5 e& T! ?9 W2 w
8 l4 \5 z' y, L9 `: }/ `第三,语言有优势。Lazarus 的攻击并非只靠技术暴力破解。他们擅长社会工程学,比如伪造招聘信息、发送钓鱼邮件、冒充客服套取验证码。
- J; ]5 B( s% Y& {. \1 o
6 W% l5 `/ }+ f1 @$ b9 L% S朝韩同文同种,语言障碍为零,这让针对韩国员工和用户的定向钓鱼攻击成功率大幅提升。9 r) ?" p! s3 i; I3 \8 T- D, [
" A% j. ?5 Z/ t. |
被盗的钱去哪了?这可能才是故事最有看点的部分。# T8 V, W% b+ a7 ]
- J: O3 C% l) {2 k
根据联合国报告和多家区块链分析公司的追踪,Lazarus 窃取的加密货币最终流向了朝鲜的核武器和弹道导弹计划
- j  {) i3 O* J/ z& C! }
7 U  x" }+ F+ [8 b" P5 h此前,路透社援引一份联合国机密报告称,朝鲜使用被盗的加密货币资金来帮助资助其导弹开发计划。
/ }7 S6 c: n  F4 P% u8 G2 y  x! T' Q
6 U; L' G0 d% t7 C/ l: i& }2023 年 5 月,白宫副国家安全顾问 Anne Neuberger 公开表示,朝鲜导弹计划约 50% 的资金来自网络攻击和加密货币盗窃;这一比例相比她 2022 年 7 月给出的「约三分之一」进一步上升。* U9 E( J: e9 ^, S$ S3 j

" R# ~, D2 b9 |- Q换句话说,每一次韩国交易平台被盗,都可能在间接为三八线对面的核弹头添砖加瓦。' p/ h- _7 _* Q1 V; G

3 c- k' J2 ^* v" d/ J* `9 c同时,洗钱路径已经相当成熟:被盗资产先通过「剥离链」技术拆分成无数小额交易,再经由混币器(如 Tornado Cash、Sinbad)混淆来源,然后通过朝鲜自建的交易平台以折扣价兑换成比特币,最后通过中俄的地下渠道兑换成法币。
& A# T$ N( X6 q; c. ]% {2 n
6 i6 [* q4 T9 \# q! C2019 年 Upbit 被盗的 34.2 万枚 ETH,韩国警方正式公布调查结果显示: 57% 在疑似朝鲜运营的三家交易平台以低于市场价 2.5% 的价格兑换成比特币,剩余 43% 通过 13 个国家的 51 家交易平台洗白。整个过程历时数年,至今绝大部分资金仍未追回。6 {/ }1 D- t1 J# y' Y' N+ Z

9 L3 s$ J! v" q- G3 M* Y这或许是韩国交易平台面临的根本困境:0 Y6 n5 p3 q6 ]/ |- `9 _
# w9 `& B) U( v6 x- _! p
一边是 Lazarus,一支拥有国家资源支持、可以 24 小时轮班作业、不计成本投入的黑客部队;另一边是 Upbit、Bithumb 这样的商业公司。
9 A) H; s6 Z1 @, x) o) T* C. u
+ B: C- ^# a# S; o. {即便是通过审查的头部交易平台,在面对国家级高持续性威胁攻击时,依然力不从心。
+ b/ g* {0 c7 B" U( N/ \
' q2 @9 U1 n- \3 c$ ]不只是韩国的问题
& [$ ~7 R2 S/ z' O+ x4 R5 U八年、十余起攻击、约 2 亿美元损失,如果只把这当作韩国加密行业的本地新闻,就错过了更大的图景。, _$ e$ V+ }$ t/ U$ N4 j- u. y  D

/ o' N; h9 i, s+ C韩国交易平台的遭遇,是加密行业与国家级对手博弈的预演。
& ]" w1 H/ U1 F& A% x/ ?6 c
* K3 b; d! q* i! o( f朝鲜是最显眼的玩家,但不是唯一的玩家。俄罗斯某些高威胁攻击组织被指与多起 DeFi 攻击存在关联,伊朗黑客曾针对以色列加密公司发动攻击,朝鲜自己也早已把战场从韩国扩展到全球,比如 2025 年 Bybit 的 15 亿美元、2022 年 Ronin 的 6.25 亿美元,受害者遍布各大洲。* S! e6 p% ]2 o9 I# H

( l) X# E- J6 I1 v! n. t( f) P) q! X- _
加密行业有一个结构性矛盾,即一切必须经过中心化的入口。. g4 \9 R5 f% g9 v# J# r: }3 o
4 k) z0 a0 r7 Q! k7 l- \0 I' [
无论链本身多么安全,用户的资产终究要通过交易平台、跨链桥、热钱包这些「咽喉要道」流动。
2 x- k% z2 V/ Q( q. m. {; m& D$ W  S! B5 y
这些节点集中了海量资金,却由预算有限的商业公司运营;对国家级黑客而言,这是效率极高的狩猎场" E! n+ d  \& |, c) p
" g, ~2 R  z3 f
攻防双方的资源从根本上不对等,Lazarus 可以失败一百次,交易平台只能失败一次。4 ^! ]4 O7 C& a. w" s) {$ j

* M: G! n# {/ R; i/ ?5 ?0 o泡菜溢价还会继续吸引全球套利者和本土散户,Lazarus 不会因为被bao光而停手,韩国交易平台与国家级黑客的攻防战远未结束。
! w# ^4 f: u8 H. h% Q5 R8 [* k8 C( v  U, X7 j+ R! s0 G: i
只是希望下一次被盗的,不是你自己的钱。
& \: ?/ H" q2 f3 O" @8 ?6 o- W3 K5 l- S1 G; O$ x
: S: C9 z) q  B( H+ R4 a& v- `

+ v! K$ T2 a# _; l- G
# ]  Z3 F; j" Y) [' w& k6 S9 J/ e$ G% D9 V1 U$ k; U5 V

- e. z* v$ [6 n+ U6 W( x: n. f3 ~6 F# N
作者: 22301    时间: 2025-11-28 07:49
这个被盗了也是很无奈的事情了。
作者: 赚钱小样    时间: 2025-11-28 10:44
这个核心方面也是很重要的啦。
作者: whywhy    时间: 2025-11-28 14:46
又是盗币事件,Upbit 运气真糟糕,540 亿韩元不是小数目啊
作者: rainwang    时间: 2025-11-28 15:25
如此特别的结果,看来真的是有意思了
作者: 垂钓园    时间: 2025-11-28 18:37
这操作太狠了,连SPL代币都不放过,Upbit真是躺枪啊
作者: 爱美的女人    时间: 2025-11-28 21:08
再次被盗也是没有太安全了
作者: 右耳    时间: 2025-11-29 12:59
Upbit这平台真够背,又双叒叕被盯上了,这回损失也太大了
作者: 舞出精彩    时间: 2025-11-29 14:19
那是要在看是什么样的先吧
作者: 小作文    时间: 2025-11-30 13:34
六年前就中过招,Upbit这风控是真让人心累,大额提现还是冷钱包靠谱点
作者: g9527    时间: 2025-12-1 21:42
又是Upbit被盗,这安全漏洞也太吓人了
作者: 德罗星    时间: 2025-12-3 18:28
很是非常的转载的情况的啊。
作者: 叫我十三    时间: 2025-12-5 07:22
这波 Upbit 真是魔咒了,又到这天就出事,安全还能信吗
作者: whywhy    时间: 2025-12-8 13:36
又被盗了,Upbit 这次损失惨重啊,教训总结要及时,防范措施也得加强
作者: g9527    时间: 2025-12-10 17:58
这Upbit咋又给掏空了,六年了还是不长记性啊
作者: g9527    时间: 2025-12-16 19:13
这Upbit咋又双叒叕被一锅端了,六年了还没长记性啊
作者: g9527    时间: 2025-12-19 20:56
这Upbit六年了咋还这么不长记性,热钱包跟自家后院似的
作者: 右耳    时间: 2025-12-26 19:11
哎,又见老平台出事,真是让人心里拔凉拔凉的
作者: 叫我十三    时间: 2026-1-6 00:30
哎,这Upbit也是没谁了,隔几年就被盯上一次,这链上战场真不是闹着玩的
作者: g9527    时间: 2026-1-13 19:29
这Upbit咋又中招了,热钱包跟不设防似的
作者: 右耳    时间: 2026-1-16 17:56
这操作跟割韭菜似的,平台不牢靠,钱包比命还金贵
作者: g9527    时间: 2026-1-17 18:42
这Upbit六年了还不长记性,热钱包跟公共厕所似的谁都能进



欢迎光临 优惠论坛 (https://tcelue.tv/) Powered by Discuz! X3.1