优惠论坛

标题: 六年后同一天再次被盗:Upbit成韩朝「链上战场」核心(转) [打印本页]
作者: caoch    时间: 2025-11-28 00:19
标题: 六年后同一天再次被盗:Upbit成韩朝「链上战场」核心(转)
市场反弹了,但交易平台又被盗了。  T- t# D, ^" X* @: O* f
4 S$ z; Q* R6 X) C+ C
11 月 27 日,韩国最大的加密货币交易平台 Upbit 确认发生安全漏洞,导致价值约 540 亿韩元(约 3680 万美元)的资产流失。5 p- N$ H6 x2 m
2 E' O# F; _$ `; a7 H8 L
首尔时间 11 月 27 日凌晨 04:42(KST),当大多数韩国交易员还在沉睡时,Upbit 的 Solana 热钱包地址出现了异常的大规模资金流出。8 u) |4 |* e$ [' q& ?
; o* i( ]6 h  n: W; c! a0 d
据慢雾等安全机构的链上监测数据,攻击者并未采取单一资产转移的方式,而是对 Upbit 在 Solana 链上的资产进行了「清空式」掠夺。
: L$ I% m# P, G( s2 X4 E& j2 ~! ?/ b9 [) Q& Y5 N4 o+ @6 d
被盗资产不仅包含核心代币 SOL 和稳定币 USDC,还覆盖了 Solana 生态内几乎所有主流的 SPL 标准代币。5 [  s/ ?1 {: U

  x" k$ k0 S, i6 V
6 \5 T4 J' Y- }# r3 N# K9 X. U, g被盗资产清单(部分):# R% C+ A2 H, F" v
; z0 J+ v- K! i' ~4 Y
· DeFi/基础设施类:JUP (Jupiter), RAY (Raydium), PYTH (Pyth Network), JTO (Jito), RENDER, IO 等。
: W4 [/ i* g2 ~' J4 C5 z* e2 u/ Y/ [+ i1 u9 R
· Meme/社区类:BONK, WIF, MOODENG, PENGU, MEW, TRUMP 等。0 K1 w2 O- [4 O

( E9 l4 h& U; i0 |9 M4 |; O  h0 ~· 其他项目:ACS, DRIFT, ZETA, SONIC 等。1 |7 `  ?( C, P' w: ]

' M% `, b2 W1 F4 T1 U7 i) q6 u; j这种一锅端的特征表明,攻击者极有可能获取了 Upbit 负责 Solana 生态热钱包的私钥权限,或者是签名服务器(Signing Server)遭到了直接控制,导致其能够对该钱包下的所有 SPL 代币进行授权转移。
6 q8 z2 t, F4 I6 Q  |- p/ f
9 a* A7 t! K( M+ ~对于 Upbit 这家占据韩国 80% 市场份额、以拥有韩国互联网振兴院(KISA)最高安全等级认证为傲的巨头来说,这无疑是一次惨痛的「破防」。
% m7 X- f7 i. A- r+ u
. Q4 f8 C' A9 a不过,这也不是韩国交易平台第一次被盗了。
, I( @4 U3 J, g. |) p/ V) a8 W5 f9 R1 H, J) ~' e( W
如果将时间轴拉长,我们会发现韩国加密市场在过去八年里,实际上一直在被黑客,尤其是朝鲜黑客光顾。0 u* t6 I, X$ K% ^" ?

  V  t) D: H( \8 P6 v) ]7 s- k3 y! Y韩国加密市场,不仅是全球最疯狂的散户赌场,也是北朝鲜黑客最顺手的「提款机」。5 \: Y5 _- ]* g0 M5 ~
, a5 T  p7 F- }+ Z9 Z- a+ N
八年朝韩攻防,被盗编年史
+ J! S% j4 k  x从早期的暴力破解到后来的社会工程学渗透,攻击手段不断进化,韩国交易平台的受难史也随之延长。
) O) _9 Q, m5 P1 {8 p9 m, l& H. Z4 Y3 T# s
累计损失:约 2 亿美元(按被盗时价格;若按当前价格计算超过 12 亿美元,其中仅 2019 年 Upbit 被盗的 34.2 万枚 ETH 现值已超 10 亿美元)
  }+ T2 X7 P4 q0 D  O) `# p8 u
/ W3 l; p; j. s* o. w, A· 2017:蛮荒时代,黑客从员工电脑下手% v) r$ E- r9 U* N  ?- n* X: M3 ?
2017 年是加密牛市的起点,也是韩国交易平台噩梦的开始。
6 K' p; H+ y5 u5 E& p+ U4 t5 O1 _5 D. J' g
这一年,韩国最大的交易平台 Bithumb 率先「中招」。6 月,黑客入侵了一名 Bithumb 员工的个人电脑,窃取了约 31,000 名用户的个人信息,随后利用这些数据对用户发起定向钓鱼攻击,卷走约 3200 万美元。事后调查发现,员工电脑上存储着未加密的客户数据,公司甚至没有安装基本的安全更新软件。2 Z8 c# i, ^3 j
5 u3 }, ^; I0 V* Q0 U# i. z4 p
这暴露了当时韩国交易平台安全管理的草台状态,连「不要在私人电脑存客户数据」这种常识都没有建立。' l# X9 [+ i, F) K& V* m
2 V% p1 K9 }4 h( Y: Q
更具标志性意义的是中型交易平台 Youbit 的覆灭。这家交易平台在一年内遭受了两次毁灭性打击:4 月份丢失近 4000 枚比特币(约 500 万美元),12 月再次被盗走 17% 的资产。不堪重负的 Youbit 宣布破产,用户只能先提取 75% 的余额,剩余部分需等待漫长的破产清算。' p- ?( i8 w- m; a0 |& @- P! x2 {

1 b1 {2 Q7 e9 V/ R; k4 rYoubit 事件后,韩国互联网安全局(KISA)首次公开指控朝鲜是幕后黑手。这也向市场发出了一个信号:5 e) n* ~7 I! S; q" N$ {7 j

5 g+ w5 I) P: z1 c6 ~交易平台面对的不再是普通网络窃贼,而是有着地缘ZZ目的的国家级黑客组织。
- k9 E3 @% \) I1 c3 D  s7 \" K1 j  b7 a9 x# B+ L4 t4 f: X, F
· 2018:热钱包大劫案
( ~0 V4 H* K. w2 B' L/ X$ |2018 年 6 月,韩国市场经历了连续重创。4 v8 ^! U- C$ D) i$ D( |4 I% f

. ?1 H! G. p9 r$ e0 B8 I9 N  m6 月 10 日,中型交易平台 Coinrail 遭遇袭击,损失超过 4000 万美元。与此前不同,这次黑客主要掠夺的是当时火热的 ICO 代币(如 Pundi X 的 NPXS),而非比特币或以太坊。消息传出后,比特币价格短时暴跌超过 10%,整个加密市场在两天内蒸发超过 400 亿美元市值。* r6 R* e+ I  W8 z$ W4 u

! q. B2 C& p% L0 ^% ^( Y$ x: K仅仅十天后,韩国头部交易平台 Bithumb 也宣告失守,热钱包被盗走约 3100 万美元的 XRP 等代币。讽刺的是,攻击发生前几天,Bithumb 刚在推特上宣布正在「将资产转移至冷钱包以升级安全系统」。
7 o, s" W) B/ t7 _# {  z. l5 D- p: n3 F$ P
这是 Bithumb 一年半内第三次被黑客「光顾」。
/ k: @" E. |  \# `
' O4 O7 A  B  U6 v' `' V$ a「连环爆雷」严重打击了市场信心。事后,韩国科技部对国内 21 家交易平台进行安全审查,结果显示只有 7 家通过全部 85 项检查,剩余 14 家「随时可能暴露于黑客攻击风险中」,其中 12 家在冷钱包管理方面存在严重漏洞。
/ [  E4 [1 }+ J' M4 z+ j3 ]) i% J3 T, Y6 o, q# i# w. k8 W' ]
· 2019:Upbit 的 342,000 枚 ETH 被盗$ B; [. e% A) j2 B
2019 年 11 月 27 日,韩国最大交易平台 Upbit 遭遇了当时国内史上最大规模的单笔盗窃。
5 ~4 l, E! ~* I& w" G! s5 x$ Y+ t! j4 T+ W$ J
黑客利用交易平台整理钱包的间隙,单笔转走了 342,000 枚 ETH。他们没有立即砸盘,而是通过「剥离链」(Peel Chain)技术,将资金拆解成无数笔小额交易,层层转移,最终流入数十家非 KYC 交易平台和混币器。, g1 P9 b9 S) g% p1 b7 r# K
8 G6 T6 I4 b- a2 v- k" \
调查显示,57% 的被盗 ETH 以低于市场价 2.5% 的折扣在疑似朝鲜运营的交易平台兑换成比特币,剩余 43% 通过 13 个国家的 51 家交易平台洗白。3 {: n: Q* s" N* a: U2 K8 N1 f; v$ l

4 D. s" W  p4 h3 D  s直到五年后的 2024 年 11 月,韩国警方才正式确认该案系朝鲜黑客组织 Lazarus Group 和 Andariel 所为。调查人员通过 IP 追踪、资金流向分析,以及攻击代码中出现的朝鲜特有词汇「흘한 일」(意为「不重要」)锁定了攻击者身份。# M: [' j" {7 ^& I8 P& |

0 F/ ?7 P6 F8 L6 R韩国当局与美国 FBI 合作追踪资产,历经四年司法程序,最终从瑞士一家交易平台追回 4.8 枚比特币(约 6 亿韩元),并于 2024 年 10 月归还 Upbit。+ f+ o; |6 r& }1 p
% ?0 H3 h" f+ j
不过相比被盗总额,这点追回几乎可以忽略不计。
2 D' V0 P" O  X$ m3 k  g) x; O& s5 M' ?" f  e3 y1 z6 F
· 2023:GDAC 事件6 V' z, r2 W8 y- {
2023 年 4 月 9 日,中型交易平台 GDAC 遭遇攻击,损失约 1300 万美元——占其托管总资产的 23%。# J2 K0 y0 V+ }2 ?  P

: g" u# m5 d1 r( U2 b2 Z被盗资产包括约 61 枚 BTC、350 枚 ETH、1000 万枚 WEMIX 代币和 22 万 USDT。黑客控制了 GDAC 的热钱包,并迅速将部分资金通过 Tornado Cash 混币器洗白。0 R4 J  b$ i* O0 l" R+ E% Y
/ {# r6 [) T# Q7 u/ ]( |( Q0 U
· 2025:六年后的同一天,Upbit 再次沦陷
6 l/ _8 V* {8 ?' P/ G+ s六年前的同一天(11 月 27 日),Upbit 曾损失 342,000 枚 ETH。" ]/ W8 ~; D/ K  v: e: P' A9 e

( T3 m8 ^2 ?; ]" x. h$ g" h, r) X历史再次重演。凌晨 4:42,Upbit 的 Solana 热钱包出现异常资金流出,约 540 亿韩元(3680 万美元)的资产被转移至未知地址。
% {( g) Q% N9 H7 ]/ f2 |
2 j9 l3 a0 q4 }! L, }2019 年 Upbit 事件之后,2020 年韩国正式实施《特定金融信息法》(特金法),要求所有交易平台取得 ISMS(信息安全管理体系)认证并在银行开设实名账户。大量无法达标的小型交易平台被迫退出市场,行业格局从「百所混战」收缩为少数几家巨头主导。Upbit 凭借 Kakao 系的资源背书和认证的通过,市场份额一度超过 80%。
' y' ~' m) f) ]3 o; o" r7 C: y- [( t8 R( T( Y: X
但六年的合规建设,并没有让 Upbit 逃过这一劫。
. E' O" I. H) W9 d- q& v; u: J1 C
( V# [7 s% N' [, I% c5 r( h0 D截至发稿,Upbit 已宣布将用自有资产全额赔付用户损失,但关于攻击者身份和具体攻击路径,官方尚未公布详细信息。# i; d& Y: c4 I3 x/ L& Y4 s
3 T1 o4 [2 P  T- k
泡菜溢价 、国家级黑客与核武器
7 N" \. j4 P+ V# x: h韩国交易平台频频被盗并非单纯的技术无能,而是地缘ZZ的悲剧投影。2 U  r7 d5 i7 J- S* H- X

" B5 X. Q4 i( R* D: \在一个高度中心化、流动性溢价极高且地理位置特殊的市场,韩国交易平台实际上是在用一家商业公司的安防预算,去对抗一个拥有核威慑诉求的国家级黑客部队。
9 j! S- r- D& @$ X$ f
) ?: t6 @5 h8 B; c, G; |* n这支部队有个名字:Lazarus Group
! F% z0 k2 M4 T7 x
8 v3 V: E+ c6 _4 y  }Lazarus 隶属于朝鲜侦察总局(RGB),是平壤最精锐的网络战力量之一。# \$ z# g. B: {+ j

! u- p+ ^- t6 L+ H- v在转向加密货币之前,他们已经在传统金融领域证明了自己的实力。
) s; D4 x; m+ n; V. ~* {% E6 k6 y+ K) h0 v) H3 b
2014 年攻破索尼影业,2016 年从孟加拉国央行盗走 8100 万美元,2017 年策划了波及 150 个国家的 WannaCry 勒索病毒。
$ A7 U4 }$ G5 K, d  V& a& M! r7 h  B) p' E9 ^3 y( Q* p; ]2 h
2017 年起,Lazarus 将目标转向加密货币领域。原因很简单:
8 r" R( A4 E4 B0 X
3 m1 A% l( \9 `7 ^& v相比传统银行,加密货币交易平台监管更松、安全标准参差不齐,而且一旦得手,资金可以通过链上转移迅速跨境,绕开国际制裁体系。" [" U$ f! E% V4 C4 K! w
& V9 l3 W3 E4 N0 {, L+ k
而韩国,恰好是最理想的猎场。
% W% S$ q: s5 c4 w
3 Q  {- u. U. {4 a$ [+ U! i第一,韩国是地缘对抗的天然目标。对朝鲜而言,攻击韩国企业不仅能获取资金,还能在「敌国」制造混乱,一举两得。& g) N& e, q9 m) V' }

5 B/ }) c9 w0 _: M' O: F( g第二,泡菜溢价背后是肥美的资金池。韩国散户对加密货币的狂热举世闻名,而溢价的本质是供不应求,大量韩元涌入,追逐有限的加密资产。
. t! T. P8 g+ H6 Q* q7 T5 l9 \
2 d  j  Z! l) x这意味着韩国交易平台的热钱包里,长期躺着远超其他市场的流动性。对黑客来说,这就是一座金矿。
2 _7 k1 X' @0 ]5 |3 D8 v5 X$ p! o: ~7 Y  r1 m* U4 t8 P5 ^( ^
第三,语言有优势。Lazarus 的攻击并非只靠技术暴力破解。他们擅长社会工程学,比如伪造招聘信息、发送钓鱼邮件、冒充客服套取验证码。) j+ V1 m+ L5 f" J' H; @8 o3 q
4 _) b) x  p  z0 _* t% F2 j
朝韩同文同种,语言障碍为零,这让针对韩国员工和用户的定向钓鱼攻击成功率大幅提升。* b% i2 E0 _; V  f: l$ |$ I; y( p

2 R& z& F6 ^( P% U8 q$ D被盗的钱去哪了?这可能才是故事最有看点的部分。1 E1 X5 X1 o6 ^

# N0 c9 Q+ I0 y$ w; F根据联合国报告和多家区块链分析公司的追踪,Lazarus 窃取的加密货币最终流向了朝鲜的核武器和弹道导弹计划# ^* n* c5 P* U8 e
& o# a# c! u# P4 G9 A5 t
此前,路透社援引一份联合国机密报告称,朝鲜使用被盗的加密货币资金来帮助资助其导弹开发计划。
! ~9 m% J8 u+ D# C3 w# n5 v8 a& l, V
2023 年 5 月,白宫副国家安全顾问 Anne Neuberger 公开表示,朝鲜导弹计划约 50% 的资金来自网络攻击和加密货币盗窃;这一比例相比她 2022 年 7 月给出的「约三分之一」进一步上升。
0 |9 W& H5 H0 e- ]$ K
& o  C4 f8 M' f( A2 [换句话说,每一次韩国交易平台被盗,都可能在间接为三八线对面的核弹头添砖加瓦。3 i/ {- ]  N7 ]# D4 J6 M

2 s0 o8 U* L7 Q8 {% b0 a9 }! I6 s5 q同时,洗钱路径已经相当成熟:被盗资产先通过「剥离链」技术拆分成无数小额交易,再经由混币器(如 Tornado Cash、Sinbad)混淆来源,然后通过朝鲜自建的交易平台以折扣价兑换成比特币,最后通过中俄的地下渠道兑换成法币。! p  U9 k( R4 j& ?9 ?
+ ?, [' v; ?) i' R
2019 年 Upbit 被盗的 34.2 万枚 ETH,韩国警方正式公布调查结果显示: 57% 在疑似朝鲜运营的三家交易平台以低于市场价 2.5% 的价格兑换成比特币,剩余 43% 通过 13 个国家的 51 家交易平台洗白。整个过程历时数年,至今绝大部分资金仍未追回。* B( A) s4 m7 ?* Y/ |# H

5 n9 ^% f5 D$ U: O0 u$ h) U! p这或许是韩国交易平台面临的根本困境:
; j  B8 _, U# Z  N) a- a- s4 g+ Y- C6 n
一边是 Lazarus,一支拥有国家资源支持、可以 24 小时轮班作业、不计成本投入的黑客部队;另一边是 Upbit、Bithumb 这样的商业公司。
$ z: O1 C( ~5 `# A. s) e8 ]$ A- Z4 V9 I) g$ n( M
即便是通过审查的头部交易平台,在面对国家级高持续性威胁攻击时,依然力不从心。
9 x/ l8 D, W% F% u0 m% O& s2 ?2 b- s
不只是韩国的问题
$ v0 W3 f$ i1 H1 N/ s八年、十余起攻击、约 2 亿美元损失,如果只把这当作韩国加密行业的本地新闻,就错过了更大的图景。
6 s7 ~* `" \' v) t# n, d# a2 I7 J" d3 l2 }
韩国交易平台的遭遇,是加密行业与国家级对手博弈的预演。) n9 e5 l4 |, z/ \/ b. a

2 `4 c  L4 T! ^" U0 ~, [朝鲜是最显眼的玩家,但不是唯一的玩家。俄罗斯某些高威胁攻击组织被指与多起 DeFi 攻击存在关联,伊朗黑客曾针对以色列加密公司发动攻击,朝鲜自己也早已把战场从韩国扩展到全球,比如 2025 年 Bybit 的 15 亿美元、2022 年 Ronin 的 6.25 亿美元,受害者遍布各大洲。# \% a) }) c0 ^: S) M- k; C
% B" W! I* s4 f7 Q3 H5 b

2 x1 H1 F: A: a7 z' W* `. S加密行业有一个结构性矛盾,即一切必须经过中心化的入口。
+ [2 ~/ B) Z- j  o4 J6 l9 S' o, ]" t2 B/ X* P5 d+ w) O( e
无论链本身多么安全,用户的资产终究要通过交易平台、跨链桥、热钱包这些「咽喉要道」流动。5 u$ n; v& u* b! Y7 g/ ]
- R: w; |  \! y3 |5 u% X8 ~
这些节点集中了海量资金,却由预算有限的商业公司运营;对国家级黑客而言,这是效率极高的狩猎场4 ?4 Q9 A8 F; Q3 r" @3 F

7 z) Z0 ?8 |4 t5 v  P攻防双方的资源从根本上不对等,Lazarus 可以失败一百次,交易平台只能失败一次。' S8 J( h) ^4 z
/ }! [2 e! l4 ^: L5 p" N; _, p' @
泡菜溢价还会继续吸引全球套利者和本土散户,Lazarus 不会因为被bao光而停手,韩国交易平台与国家级黑客的攻防战远未结束。
. }, J$ L. P5 ?' H" C( s  O& a
5 t7 `0 P. a6 }* h7 C. i只是希望下一次被盗的,不是你自己的钱。5 ?/ T) v( o7 J4 p) z9 ?8 J# q
5 _/ T1 E. f  U* C; d! C9 l
3 f2 d; b' C9 A3 e& ?5 q
, @: A" y+ z1 a7 x1 c

- x% Z' t% W' N. n0 g9 Q) S2 |% _

+ r  L  e+ ]6 K# }
; p3 y) g6 N2 |4 X# ?6 V
作者: 22301    时间: 2025-11-28 07:49
这个被盗了也是很无奈的事情了。
作者: 赚钱小样    时间: 2025-11-28 10:44
这个核心方面也是很重要的啦。
作者: whywhy    时间: 2025-11-28 14:46
又是盗币事件,Upbit 运气真糟糕,540 亿韩元不是小数目啊
作者: rainwang    时间: 2025-11-28 15:25
如此特别的结果,看来真的是有意思了
作者: 垂钓园    时间: 2025-11-28 18:37
这操作太狠了,连SPL代币都不放过,Upbit真是躺枪啊
作者: 爱美的女人    时间: 2025-11-28 21:08
再次被盗也是没有太安全了
作者: 右耳    时间: 2025-11-29 12:59
Upbit这平台真够背,又双叒叕被盯上了,这回损失也太大了
作者: 舞出精彩    时间: 2025-11-29 14:19
那是要在看是什么样的先吧
作者: 小作文    时间: 2025-11-30 13:34
六年前就中过招,Upbit这风控是真让人心累,大额提现还是冷钱包靠谱点
作者: g9527    时间: 2025-12-1 21:42
又是Upbit被盗,这安全漏洞也太吓人了
作者: 德罗星    时间: 2025-12-3 18:28
很是非常的转载的情况的啊。
作者: 叫我十三    时间: 2025-12-5 07:22
这波 Upbit 真是魔咒了,又到这天就出事,安全还能信吗
作者: whywhy    时间: 2025-12-8 13:36
又被盗了,Upbit 这次损失惨重啊,教训总结要及时,防范措施也得加强
作者: g9527    时间: 2025-12-10 17:58
这Upbit咋又给掏空了,六年了还是不长记性啊
作者: g9527    时间: 2025-12-16 19:13
这Upbit咋又双叒叕被一锅端了,六年了还没长记性啊
作者: g9527    时间: 2025-12-19 20:56
这Upbit六年了咋还这么不长记性,热钱包跟自家后院似的
作者: 右耳    时间: 2025-12-26 19:11
哎,又见老平台出事,真是让人心里拔凉拔凉的
作者: 叫我十三    时间: 2026-1-6 00:30
哎,这Upbit也是没谁了,隔几年就被盯上一次,这链上战场真不是闹着玩的
作者: g9527    时间: 2026-1-13 19:29
这Upbit咋又中招了,热钱包跟不设防似的
作者: 右耳    时间: 2026-1-16 17:56
这操作跟割韭菜似的,平台不牢靠,钱包比命还金贵
作者: g9527    时间: 2026-1-17 18:42
这Upbit六年了还不长记性,热钱包跟公共厕所似的谁都能进



欢迎光临 优惠论坛 (https://tcelue.tv/) Powered by Discuz! X3.1