优惠论坛

标题: 六年后同一天再次被盗:Upbit成韩朝「链上战场」核心(转) [打印本页]
作者: caoch    时间: 2025-11-28 00:19
标题: 六年后同一天再次被盗:Upbit成韩朝「链上战场」核心(转)
市场反弹了,但交易平台又被盗了。7 X: d: S( n% Q+ j) A$ {" n/ w

" i* a$ m. {2 s' Q. r11 月 27 日,韩国最大的加密货币交易平台 Upbit 确认发生安全漏洞,导致价值约 540 亿韩元(约 3680 万美元)的资产流失。
& t6 ]7 z3 a. L4 A2 s  i
1 G$ a. c0 J- w) Q$ u* |首尔时间 11 月 27 日凌晨 04:42(KST),当大多数韩国交易员还在沉睡时,Upbit 的 Solana 热钱包地址出现了异常的大规模资金流出。
3 i' `$ q- s' m9 ]
6 P+ k0 [/ B; P# `4 m4 ?5 U据慢雾等安全机构的链上监测数据,攻击者并未采取单一资产转移的方式,而是对 Upbit 在 Solana 链上的资产进行了「清空式」掠夺。
, ]0 H6 K6 t& ~: u9 b' d' M& l, M4 P
被盗资产不仅包含核心代币 SOL 和稳定币 USDC,还覆盖了 Solana 生态内几乎所有主流的 SPL 标准代币。& h- d, q5 C5 W9 j
* x& S1 T: B9 ]  A6 G0 b) c1 }7 _

$ M. D9 y' p. M9 h5 c* W) j1 P被盗资产清单(部分):
  g# y# n, ?& k6 V( r, U: u8 H0 w$ ^' \4 r4 R) W* w
· DeFi/基础设施类:JUP (Jupiter), RAY (Raydium), PYTH (Pyth Network), JTO (Jito), RENDER, IO 等。6 u+ m; E3 Z7 o, ]# |7 L; ]
: G3 `9 R0 F3 E4 M6 r: b
· Meme/社区类:BONK, WIF, MOODENG, PENGU, MEW, TRUMP 等。
) n+ Y" K# L* p" Q: L$ @- i, |4 b) x# p
· 其他项目:ACS, DRIFT, ZETA, SONIC 等。
3 L" U$ [' \$ h  ~' d+ t" O4 e  H3 t) F4 B; S/ A/ M8 a0 s
这种一锅端的特征表明,攻击者极有可能获取了 Upbit 负责 Solana 生态热钱包的私钥权限,或者是签名服务器(Signing Server)遭到了直接控制,导致其能够对该钱包下的所有 SPL 代币进行授权转移。
+ c' X: ^1 K: a0 g8 ^( [! M9 b- u) X, b% H" E
对于 Upbit 这家占据韩国 80% 市场份额、以拥有韩国互联网振兴院(KISA)最高安全等级认证为傲的巨头来说,这无疑是一次惨痛的「破防」。* m' u  B  y3 w4 G$ H

1 `4 \: g. H* J; p不过,这也不是韩国交易平台第一次被盗了。, o. q" `% Y6 w: S( |$ X2 F" Z/ a# _7 G

3 ?1 L  [  d$ @' I. d( A9 Z) W- v如果将时间轴拉长,我们会发现韩国加密市场在过去八年里,实际上一直在被黑客,尤其是朝鲜黑客光顾。
% W) `, X" ~9 Z7 w6 v. H  w3 z! G$ R: ?; u1 ?
韩国加密市场,不仅是全球最疯狂的散户赌场,也是北朝鲜黑客最顺手的「提款机」。
9 L5 E# J# R. z- B& f% r2 m0 [9 O0 x; r0 y/ q1 F
八年朝韩攻防,被盗编年史" G9 L/ ~3 r8 k5 Z$ q; @
从早期的暴力破解到后来的社会工程学渗透,攻击手段不断进化,韩国交易平台的受难史也随之延长。
8 W" f, D! B2 T
1 X1 t' }2 B. d累计损失:约 2 亿美元(按被盗时价格;若按当前价格计算超过 12 亿美元,其中仅 2019 年 Upbit 被盗的 34.2 万枚 ETH 现值已超 10 亿美元)
+ W" G, X# p. I# f% g' g2 Y" a8 q$ Q5 H% f; F4 U. T; E7 b! }: q
· 2017:蛮荒时代,黑客从员工电脑下手
% Q( o* X( Y! c7 C1 {4 M& t2017 年是加密牛市的起点,也是韩国交易平台噩梦的开始。
) ~4 o, T' K8 r  s
1 I! G, Z  w5 l  l这一年,韩国最大的交易平台 Bithumb 率先「中招」。6 月,黑客入侵了一名 Bithumb 员工的个人电脑,窃取了约 31,000 名用户的个人信息,随后利用这些数据对用户发起定向钓鱼攻击,卷走约 3200 万美元。事后调查发现,员工电脑上存储着未加密的客户数据,公司甚至没有安装基本的安全更新软件。2 b4 g0 Z& h( k2 l

& @9 V1 V$ X* i) d7 F这暴露了当时韩国交易平台安全管理的草台状态,连「不要在私人电脑存客户数据」这种常识都没有建立。
0 S4 `6 m% C# r/ {9 P9 m
+ l$ J0 v( L, O2 O2 W7 N更具标志性意义的是中型交易平台 Youbit 的覆灭。这家交易平台在一年内遭受了两次毁灭性打击:4 月份丢失近 4000 枚比特币(约 500 万美元),12 月再次被盗走 17% 的资产。不堪重负的 Youbit 宣布破产,用户只能先提取 75% 的余额,剩余部分需等待漫长的破产清算。
2 R- c' Q! ?4 _- Z8 ], H$ F4 w; W0 C4 F! W; Q! c4 o3 w
Youbit 事件后,韩国互联网安全局(KISA)首次公开指控朝鲜是幕后黑手。这也向市场发出了一个信号:
' R* r5 O9 v$ Y
1 Q' o0 t' F6 o+ D6 F交易平台面对的不再是普通网络窃贼,而是有着地缘ZZ目的的国家级黑客组织。1 u. c7 g/ l7 z7 I5 F. g" R/ a$ @  y

0 N  O, Q/ R& @! b* X. w* [, X· 2018:热钱包大劫案
0 `8 R, q% y0 G2 ^, D# M: R2018 年 6 月,韩国市场经历了连续重创。& p1 [% D" G' A- J% }3 K

! w9 F& `( d7 m4 w% D3 t6 月 10 日,中型交易平台 Coinrail 遭遇袭击,损失超过 4000 万美元。与此前不同,这次黑客主要掠夺的是当时火热的 ICO 代币(如 Pundi X 的 NPXS),而非比特币或以太坊。消息传出后,比特币价格短时暴跌超过 10%,整个加密市场在两天内蒸发超过 400 亿美元市值。. ]% e! x$ l' G/ h

% V: M% G; D* x( P仅仅十天后,韩国头部交易平台 Bithumb 也宣告失守,热钱包被盗走约 3100 万美元的 XRP 等代币。讽刺的是,攻击发生前几天,Bithumb 刚在推特上宣布正在「将资产转移至冷钱包以升级安全系统」。$ K/ c! z* V1 H! b: U& _
6 e: i2 R2 z6 X8 L1 R- @% `
这是 Bithumb 一年半内第三次被黑客「光顾」。
! \/ o4 O( ^  w8 N  n9 p& ?
* v7 k3 J8 \7 I" G4 \. K# x: ~: T; W$ ~「连环爆雷」严重打击了市场信心。事后,韩国科技部对国内 21 家交易平台进行安全审查,结果显示只有 7 家通过全部 85 项检查,剩余 14 家「随时可能暴露于黑客攻击风险中」,其中 12 家在冷钱包管理方面存在严重漏洞。
, q6 ?  c+ Y% \, ~& X- C' c; ~$ U/ w: Z8 W* q% d
· 2019:Upbit 的 342,000 枚 ETH 被盗
, w" I# Q0 a# `2019 年 11 月 27 日,韩国最大交易平台 Upbit 遭遇了当时国内史上最大规模的单笔盗窃。/ s1 W4 Z$ c) I
. K+ n+ l: _& k6 Y7 ?
黑客利用交易平台整理钱包的间隙,单笔转走了 342,000 枚 ETH。他们没有立即砸盘,而是通过「剥离链」(Peel Chain)技术,将资金拆解成无数笔小额交易,层层转移,最终流入数十家非 KYC 交易平台和混币器。$ }1 w  [7 y* V
  c0 m+ M( O* A6 L
调查显示,57% 的被盗 ETH 以低于市场价 2.5% 的折扣在疑似朝鲜运营的交易平台兑换成比特币,剩余 43% 通过 13 个国家的 51 家交易平台洗白。2 \6 Z4 S4 A/ P9 E
' P2 |( K: ~3 n1 I, V
直到五年后的 2024 年 11 月,韩国警方才正式确认该案系朝鲜黑客组织 Lazarus Group 和 Andariel 所为。调查人员通过 IP 追踪、资金流向分析,以及攻击代码中出现的朝鲜特有词汇「흘한 일」(意为「不重要」)锁定了攻击者身份。
5 U" y! z7 U: S# _1 Z6 ?  f1 d, Q3 P# P4 ~& \6 I* d
韩国当局与美国 FBI 合作追踪资产,历经四年司法程序,最终从瑞士一家交易平台追回 4.8 枚比特币(约 6 亿韩元),并于 2024 年 10 月归还 Upbit。! B( C; m% p, a7 \& T
/ t, W" _3 @  r2 T$ f& X
不过相比被盗总额,这点追回几乎可以忽略不计。7 p/ }8 ], G' o5 j* s" e& \! y

0 p4 _6 X1 A( h  {/ H, t· 2023:GDAC 事件0 e2 @3 Q+ j" ]8 l% c/ x8 x
2023 年 4 月 9 日,中型交易平台 GDAC 遭遇攻击,损失约 1300 万美元——占其托管总资产的 23%。. M$ j: J8 ~1 H3 R, q+ V
0 g+ n) @" O* G7 J8 F
被盗资产包括约 61 枚 BTC、350 枚 ETH、1000 万枚 WEMIX 代币和 22 万 USDT。黑客控制了 GDAC 的热钱包,并迅速将部分资金通过 Tornado Cash 混币器洗白。9 U3 F( _5 ~4 U" T6 H5 L" G) G
2 H. {3 M4 x  B, }/ _- z
· 2025:六年后的同一天,Upbit 再次沦陷
5 Q6 k7 V" Z5 ]- q. L) o! w6 |, r六年前的同一天(11 月 27 日),Upbit 曾损失 342,000 枚 ETH。! G2 _( m/ t: @# w: \1 q# m

( G: W- h9 V) s0 U. B历史再次重演。凌晨 4:42,Upbit 的 Solana 热钱包出现异常资金流出,约 540 亿韩元(3680 万美元)的资产被转移至未知地址。
% N$ D# U( \$ r9 {2 f! S
$ |+ H! p# m, _7 {! c; V7 I5 V6 q2019 年 Upbit 事件之后,2020 年韩国正式实施《特定金融信息法》(特金法),要求所有交易平台取得 ISMS(信息安全管理体系)认证并在银行开设实名账户。大量无法达标的小型交易平台被迫退出市场,行业格局从「百所混战」收缩为少数几家巨头主导。Upbit 凭借 Kakao 系的资源背书和认证的通过,市场份额一度超过 80%。6 s9 S% w' O+ S- [8 W1 ?
5 N* }* A! D3 g- N* X4 e9 {
但六年的合规建设,并没有让 Upbit 逃过这一劫。
% ]5 n" h. d* O+ J0 \  i3 E4 w& t. X9 u  L5 f6 w
截至发稿,Upbit 已宣布将用自有资产全额赔付用户损失,但关于攻击者身份和具体攻击路径,官方尚未公布详细信息。
3 p& _, j6 {& c& r# H4 @' q4 n5 g, H9 a: @( \  t  ?
泡菜溢价 、国家级黑客与核武器; n3 S* H1 Y0 P$ [  ]( B6 C5 x* V$ L0 P
韩国交易平台频频被盗并非单纯的技术无能,而是地缘ZZ的悲剧投影。4 V( q# I  Y, F8 X( `

$ z- S. R' H9 g' @5 B& D在一个高度中心化、流动性溢价极高且地理位置特殊的市场,韩国交易平台实际上是在用一家商业公司的安防预算,去对抗一个拥有核威慑诉求的国家级黑客部队。' Z2 ]. d) P, A" r/ A

+ p2 }5 d% S" p2 K' e3 U% y2 x1 F7 `这支部队有个名字:Lazarus Group
2 m% }2 V# g; a; `6 H$ u! ?" Y9 {& T3 u8 \% E0 K( c" d
Lazarus 隶属于朝鲜侦察总局(RGB),是平壤最精锐的网络战力量之一。
3 N! ~. F5 i9 ~# {7 Z3 J! w2 U2 t- G1 Z3 d
在转向加密货币之前,他们已经在传统金融领域证明了自己的实力。
& g) e& `% |3 {4 I. I' Z- x; }
9 U5 n; e: d$ ^" b; K. w/ o2014 年攻破索尼影业,2016 年从孟加拉国央行盗走 8100 万美元,2017 年策划了波及 150 个国家的 WannaCry 勒索病毒。
: m8 Z% ?$ J4 g; `* o. L; T# p
9 k) a8 m$ u2 |. n8 N  t: a2017 年起,Lazarus 将目标转向加密货币领域。原因很简单:
( J$ K' B2 K% e. ]& }/ K" @4 U
. G8 Y. B, z- ~5 a6 n相比传统银行,加密货币交易平台监管更松、安全标准参差不齐,而且一旦得手,资金可以通过链上转移迅速跨境,绕开国际制裁体系。
8 J  B5 H4 _9 {0 [% d" G( u2 A6 b2 c$ S' E+ w$ c
而韩国,恰好是最理想的猎场。3 l% x$ K$ J/ k, y

6 Q0 t% @1 D( ^5 O  S第一,韩国是地缘对抗的天然目标。对朝鲜而言,攻击韩国企业不仅能获取资金,还能在「敌国」制造混乱,一举两得。) o; {" F+ L8 V' p( P: |+ k8 R+ H, U
# ^* z4 d  i7 O' a/ Y
第二,泡菜溢价背后是肥美的资金池。韩国散户对加密货币的狂热举世闻名,而溢价的本质是供不应求,大量韩元涌入,追逐有限的加密资产。
7 r8 ?. D. g& C' s; T6 h0 T9 i8 V, w7 y8 g6 d/ X
这意味着韩国交易平台的热钱包里,长期躺着远超其他市场的流动性。对黑客来说,这就是一座金矿。
' b) d& |1 `& F6 H" P2 \; t- R
( J- }, B2 J5 \2 Z; x' T第三,语言有优势。Lazarus 的攻击并非只靠技术暴力破解。他们擅长社会工程学,比如伪造招聘信息、发送钓鱼邮件、冒充客服套取验证码。
' e! e- \# S- j# I; E% N7 \/ G/ ?4 b) e8 ]& G' ]" Y  l6 t( B
朝韩同文同种,语言障碍为零,这让针对韩国员工和用户的定向钓鱼攻击成功率大幅提升。" A! o( \; ~' L; Q4 [$ {
- Q  }* `( x* v: I9 V5 K8 F! j) ^
被盗的钱去哪了?这可能才是故事最有看点的部分。! K7 r! A5 G  u7 l8 G3 v) n5 I

$ h$ C# K) D6 j8 Z9 M; J1 z根据联合国报告和多家区块链分析公司的追踪,Lazarus 窃取的加密货币最终流向了朝鲜的核武器和弹道导弹计划
( e0 Z! u) [# |2 Y; }  I, M
$ J0 N( n2 [3 J7 Q6 K此前,路透社援引一份联合国机密报告称,朝鲜使用被盗的加密货币资金来帮助资助其导弹开发计划。
' T" j& E/ R7 m- V2 O$ `+ K( L" ~/ K0 b) D
2023 年 5 月,白宫副国家安全顾问 Anne Neuberger 公开表示,朝鲜导弹计划约 50% 的资金来自网络攻击和加密货币盗窃;这一比例相比她 2022 年 7 月给出的「约三分之一」进一步上升。
+ U  [% J6 k# C) Y. B5 D$ o- P7 ~1 H; Z) {2 x
换句话说,每一次韩国交易平台被盗,都可能在间接为三八线对面的核弹头添砖加瓦。
6 ^4 ?8 |& N$ t/ w( v9 M. H6 I7 H! F5 X9 |. U5 B/ U) P& V
同时,洗钱路径已经相当成熟:被盗资产先通过「剥离链」技术拆分成无数小额交易,再经由混币器(如 Tornado Cash、Sinbad)混淆来源,然后通过朝鲜自建的交易平台以折扣价兑换成比特币,最后通过中俄的地下渠道兑换成法币。5 Y* a0 [+ `" [' l2 S
2 Z  ]& \. i+ {/ L3 C+ v
2019 年 Upbit 被盗的 34.2 万枚 ETH,韩国警方正式公布调查结果显示: 57% 在疑似朝鲜运营的三家交易平台以低于市场价 2.5% 的价格兑换成比特币,剩余 43% 通过 13 个国家的 51 家交易平台洗白。整个过程历时数年,至今绝大部分资金仍未追回。
* v4 M( Y; B$ s, b. c+ k/ W# T) L5 h/ a7 v% D
这或许是韩国交易平台面临的根本困境:
0 U# o8 l$ G( n" r4 Z; K/ z) L( W' d8 F1 |$ t# x
一边是 Lazarus,一支拥有国家资源支持、可以 24 小时轮班作业、不计成本投入的黑客部队;另一边是 Upbit、Bithumb 这样的商业公司。8 K( I! Z6 e* @8 p' R7 a+ G) d
7 E3 Z4 S' Q, N0 E7 v' V) e% Z
即便是通过审查的头部交易平台,在面对国家级高持续性威胁攻击时,依然力不从心。" d8 \# Y/ L! C- I! v

+ g) r3 W$ d' B6 u) i不只是韩国的问题
9 C/ q* X9 P3 h6 i5 }2 @/ ?- _八年、十余起攻击、约 2 亿美元损失,如果只把这当作韩国加密行业的本地新闻,就错过了更大的图景。
* c( k2 K& [8 Y7 d- V& M; p, f- V. a9 P3 o% U
韩国交易平台的遭遇,是加密行业与国家级对手博弈的预演。* q) L  @% w2 m; z- _
2 U  W5 ^6 \% c: s7 ~
朝鲜是最显眼的玩家,但不是唯一的玩家。俄罗斯某些高威胁攻击组织被指与多起 DeFi 攻击存在关联,伊朗黑客曾针对以色列加密公司发动攻击,朝鲜自己也早已把战场从韩国扩展到全球,比如 2025 年 Bybit 的 15 亿美元、2022 年 Ronin 的 6.25 亿美元,受害者遍布各大洲。
$ K  H! e+ l) z" _
, ~8 k9 T3 }7 w' c
8 g% {9 A/ f' W6 t1 s- ^加密行业有一个结构性矛盾,即一切必须经过中心化的入口。
/ c) e- r6 [! C! H, G: A6 n' J9 {5 t
无论链本身多么安全,用户的资产终究要通过交易平台、跨链桥、热钱包这些「咽喉要道」流动。- X7 R2 A) H4 U0 C& ^

* n6 l# g0 M. q, F6 j. x+ U这些节点集中了海量资金,却由预算有限的商业公司运营;对国家级黑客而言,这是效率极高的狩猎场
4 F8 A7 o& H, B: y! R0 n9 n3 o$ t
攻防双方的资源从根本上不对等,Lazarus 可以失败一百次,交易平台只能失败一次。
- B9 I8 Y: t: B* T3 \; m& z1 Q( \
泡菜溢价还会继续吸引全球套利者和本土散户,Lazarus 不会因为被bao光而停手,韩国交易平台与国家级黑客的攻防战远未结束。8 y* w% a. f8 \3 a$ c

2 `( g# k2 ~2 [! v只是希望下一次被盗的,不是你自己的钱。; P0 `' Z2 `" p& j8 N9 h, [: J

+ X6 m. G& d( A0 u0 E8 e8 ^6 A$ _, @9 B7 [
' ], f" A. q: S

) Y4 T* U/ d, M2 r  E8 y
8 T1 d% T' }7 y3 f: W; U: O' ~# N; k) T# c1 f: M8 o2 p" c
+ {, k: Q1 T8 S  \
作者: 22301    时间: 2025-11-28 07:49
这个被盗了也是很无奈的事情了。
作者: 赚钱小样    时间: 2025-11-28 10:44
这个核心方面也是很重要的啦。
作者: whywhy    时间: 2025-11-28 14:46
又是盗币事件,Upbit 运气真糟糕,540 亿韩元不是小数目啊
作者: rainwang    时间: 2025-11-28 15:25
如此特别的结果,看来真的是有意思了
作者: 垂钓园    时间: 2025-11-28 18:37
这操作太狠了,连SPL代币都不放过,Upbit真是躺枪啊
作者: 爱美的女人    时间: 2025-11-28 21:08
再次被盗也是没有太安全了
作者: 右耳    时间: 2025-11-29 12:59
Upbit这平台真够背,又双叒叕被盯上了,这回损失也太大了
作者: 舞出精彩    时间: 2025-11-29 14:19
那是要在看是什么样的先吧
作者: 小作文    时间: 2025-11-30 13:34
六年前就中过招,Upbit这风控是真让人心累,大额提现还是冷钱包靠谱点
作者: g9527    时间: 2025-12-1 21:42
又是Upbit被盗,这安全漏洞也太吓人了
作者: 德罗星    时间: 2025-12-3 18:28
很是非常的转载的情况的啊。
作者: 叫我十三    时间: 2025-12-5 07:22
这波 Upbit 真是魔咒了,又到这天就出事,安全还能信吗
作者: whywhy    时间: 2025-12-8 13:36
又被盗了,Upbit 这次损失惨重啊,教训总结要及时,防范措施也得加强
作者: g9527    时间: 2025-12-10 17:58
这Upbit咋又给掏空了,六年了还是不长记性啊
作者: g9527    时间: 2025-12-16 19:13
这Upbit咋又双叒叕被一锅端了,六年了还没长记性啊
作者: g9527    时间: 2025-12-19 20:56
这Upbit六年了咋还这么不长记性,热钱包跟自家后院似的
作者: 右耳    时间: 2025-12-26 19:11
哎,又见老平台出事,真是让人心里拔凉拔凉的
作者: 叫我十三    时间: 2026-1-6 00:30
哎,这Upbit也是没谁了,隔几年就被盯上一次,这链上战场真不是闹着玩的
作者: g9527    时间: 2026-1-13 19:29
这Upbit咋又中招了,热钱包跟不设防似的
作者: 右耳    时间: 2026-1-16 17:56
这操作跟割韭菜似的,平台不牢靠,钱包比命还金贵
作者: g9527    时间: 2026-1-17 18:42
这Upbit六年了还不长记性,热钱包跟公共厕所似的谁都能进



欢迎光临 优惠论坛 (https://tcelue.tv/) Powered by Discuz! X3.1