优惠论坛
标题:
六年后同一天再次被盗:Upbit成韩朝「链上战场」核心(转)
[打印本页]
作者:
caoch
时间:
2025-11-28 00:19
标题:
六年后同一天再次被盗:Upbit成韩朝「链上战场」核心(转)
市场反弹了,但交易平台又被盗了。
' ^& @, A* l4 H" D" R2 P
/ S0 \3 {1 M! N
11 月 27 日,韩国最大的加密货币交易平台 Upbit 确认发生安全漏洞,导致价值约 540 亿韩元(约 3680 万美元)的资产流失。
1 X& D4 ?: W$ W- R+ M, z
+ ^" z" P# K4 x& {" f7 Z
首尔时间 11 月 27 日凌晨 04:42(KST),当大多数韩国交易员还在沉睡时,Upbit 的 Solana 热钱包地址出现了异常的大规模资金流出。
6 l# y$ ?8 c, W" u# {
o/ W; `) \' [8 r, p: S
据慢雾等安全机构的链上监测数据,攻击者并未采取单一资产转移的方式,而是对 Upbit 在 Solana 链上的资产进行了「清空式」掠夺。
& ~: [1 e6 D- S
2 V( H# I G% |8 v+ M5 B8 c
被盗资产不仅包含核心代币
SOL
和稳定币
USDC
,还覆盖了 Solana 生态内几乎所有主流的 SPL 标准代币。
* ^( F$ z! v. M2 w' f3 [
n4 O( i2 K, L. Q* P) Q
6 [+ Q) i: X3 m2 u0 u+ `. A
被盗资产清单(部分):
, K* J' T T9 P$ e
1 p4 [3 @8 U) W2 t
· DeFi/基础设施类
:JUP (Jupiter), RAY (Raydium), PYTH (Pyth Network), JTO (Jito), RENDER, IO 等。
; V/ p( W5 |' a- Y& Z6 d
+ E0 K0 M, i$ Z. |
· Meme/社区类
:BONK, WIF, MOODENG, PENGU, MEW, TRUMP 等。
+ C* v5 v2 l8 L2 I- Y+ \
3 \4 k8 V, i" t% W) X8 A3 H
· 其他项目
:ACS, DRIFT, ZETA, SONIC 等。
. W9 }) N. p: Y
/ U6 T6 O# Y' v! j
这种一锅端的特征表明,攻击者极有可能获取了 Upbit 负责 Solana 生态热钱包的私钥权限,或者是签名服务器(Signing Server)遭到了直接控制,导致其能够对该钱包下的所有 SPL 代币进行授权转移。
9 \+ u+ Q' j. r" y9 O" Y, {$ F
: K7 U0 @, G' {
对于 Upbit 这家占据韩国 80% 市场份额、以拥有韩国互联网振兴院(KISA)最高安全等级认证为傲的巨头来说,这无疑是一次惨痛的「破防」。
8 z) w9 ~8 H5 C2 A
- M$ @. N3 n1 N0 N, B$ L/ p+ l
不过,这也不是韩国交易平台第一次被盗了。
+ ]6 \+ H: J; j5 i' g9 _1 S
& W# E, g# }+ o( C
如果将时间轴拉长,我们会发现韩国加密市场在过去八年里,实际上一直在被黑客,尤其是朝鲜黑客光顾。
% j% \; T% ` I9 Z; k
+ S5 C0 i# o* l+ q
韩国加密市场,不仅是全球最疯狂的散户赌场,也是北朝鲜黑客最顺手的「提款机」。
/ T, t1 c2 R. S S% o
5 n B- F* r4 z( ~2 r, k e
八年朝韩攻防,被盗编年史
6 W8 U# ?$ u5 W5 y1 z/ z: q! j; C. p
从早期的暴力破解到后来的社会工程学渗透,攻击手段不断进化,韩国交易平台的受难史也随之延长。
, F7 O3 R5 O2 I8 P4 e
" |- a5 I$ z* y" J
累计损失:约 2 亿美元(按被盗时价格;若按当前价格计算超过 12 亿美元,其中仅 2019 年 Upbit 被盗的 34.2 万枚 ETH 现值已超 10 亿美元)
0 ] w% _2 y) ?+ Q6 O h( x. f
+ `& y3 u$ f/ p. K% U
· 2017:蛮荒时代,黑客从员工电脑下手
- A6 s- z; ]: S, N5 s& L
2017 年是加密牛市的起点,也是韩国交易平台噩梦的开始。
' s0 ~- l9 [0 j
0 x; C, V* h" @5 t' }5 ^
这一年,韩国最大的交易平台 Bithumb 率先「中招」。6 月,黑客入侵了一名 Bithumb 员工的个人电脑,窃取了约 31,000 名用户的个人信息,随后利用这些数据对用户发起定向钓鱼攻击,卷走约 3200 万美元。事后调查发现,员工电脑上存储着未加密的客户数据,公司甚至没有安装基本的安全更新软件。
" u" m* U( t" p* [+ C
( |( J9 ?4 m c. s% {; D
这暴露了当时韩国交易平台安全管理的草台状态,连「不要在私人电脑存客户数据」这种常识都没有建立。
, L: l2 m/ L3 `5 G
. C& r/ i2 G7 A1 Y
更具标志性意义的是中型交易平台 Youbit 的覆灭。这家交易平台在一年内遭受了两次毁灭性打击:4 月份丢失近 4000 枚比特币(约 500 万美元),12 月再次被盗走 17% 的资产。不堪重负的 Youbit 宣布破产,用户只能先提取 75% 的余额,剩余部分需等待漫长的破产清算。
& Y* O% u! q( L" o+ ^) T
6 A, {" Z1 c N0 o
Youbit 事件后,韩国互联网安全局(KISA)首次公开指控朝鲜是幕后黑手。这也向市场发出了一个信号:
+ K9 U% [% `; |5 x
9 P2 e6 B+ ^+ G, |4 c
交易平台面对的不再是普通网络窃贼,而是有着地缘ZZ目的的国家级黑客组织。
1 a, L! ~1 h0 B
) k8 J2 I ^* t* P
· 2018:热钱包大劫案
) _9 ?2 a" c F* C6 b6 p- T+ W
2018 年 6 月,韩国市场经历了连续重创。
^( D5 C) k0 q! b+ z
' ~9 j) A+ _0 y6 R) @/ J" r7 y
6 月 10 日,中型交易平台 Coinrail 遭遇袭击,损失超过 4000 万美元。与此前不同,这次黑客主要掠夺的是当时火热的 ICO 代币(如 Pundi X 的 NPXS),而非比特币或以太坊。消息传出后,比特币价格短时暴跌超过 10%,整个加密市场在两天内蒸发超过 400 亿美元市值。
$ R* n( m; h$ e+ z1 Y! t( F
, q7 R. X1 \+ B* g! d3 c
仅仅十天后,韩国头部交易平台 Bithumb 也宣告失守,热钱包被盗走约 3100 万美元的 XRP 等代币。讽刺的是,攻击发生前几天,Bithumb 刚在推特上宣布正在「将资产转移至冷钱包以升级安全系统」。
3 v) b& F6 n& j3 d. T. e% |
; v- [6 w2 _: e7 q/ j
这是 Bithumb 一年半内第三次被黑客「光顾」。
3 Y2 F7 m0 C b* l$ G% c5 F- i6 k, |7 [5 T
. A2 M x* Z' N, V, B
「连环爆雷」严重打击了市场信心。事后,韩国科技部对国内 21 家交易平台进行安全审查,结果显示只有 7 家通过全部 85 项检查,剩余 14 家「随时可能暴露于黑客攻击风险中」,其中 12 家在冷钱包管理方面存在严重漏洞。
) T. q( _9 C; L" j
" I7 ~/ v' G& p
· 2019:Upbit 的 342,000 枚 ETH 被盗
! y; |7 A0 I3 ~% E+ g
2019 年 11 月 27 日,韩国最大交易平台 Upbit 遭遇了当时国内史上最大规模的单笔盗窃。
$ H+ m) u5 i. U
; D: l$ `2 b0 Z. R
黑客利用交易平台整理钱包的间隙,单笔转走了 342,000 枚 ETH。他们没有立即砸盘,而是通过「剥离链」(Peel Chain)技术,将资金拆解成无数笔小额交易,层层转移,最终流入数十家非 KYC 交易平台和混币器。
7 c+ ^& U, K# h5 X0 Q: B
' X4 r: {6 i/ m
调查显示,57% 的被盗 ETH 以低于市场价 2.5% 的折扣在疑似朝鲜运营的交易平台兑换成比特币,剩余 43% 通过 13 个国家的 51 家交易平台洗白。
' `8 k4 e8 }# R' W6 p! x
6 d5 I. Q ^7 s" Z7 ]
直到五年后的 2024 年 11 月,韩国警方才正式确认该案系朝鲜黑客组织 Lazarus Group 和 Andariel 所为。调查人员通过 IP 追踪、资金流向分析,以及攻击代码中出现的朝鲜特有词汇「흘한 일」(意为「不重要」)锁定了攻击者身份。
p7 E" v0 \) l9 k/ }# P( @% h
: ^ Z. o0 G7 Q/ i
韩国当局与美国 FBI 合作追踪资产,历经四年司法程序,最终从瑞士一家交易平台追回 4.8 枚比特币(约 6 亿韩元),并于 2024 年 10 月归还 Upbit。
; Z( p1 ~+ }+ Q9 C2 o
: |9 `# n; J/ I! g2 q. Y' M3 D
不过相比被盗总额,这点追回几乎可以忽略不计。
7 M. p$ w' p" I$ _) y2 a- b
( F8 e, X5 V1 o+ X1 E4 g; }. x. h
· 2023:GDAC 事件
& B% A+ M6 I: }) H# A& A3 R; S
2023 年 4 月 9 日,中型交易平台 GDAC 遭遇攻击,损失约 1300 万美元——占其托管总资产的 23%。
- B: ^+ d6 [" g$ |$ _3 I
: Y$ l5 u% v$ a6 {" Z" g
被盗资产包括约 61 枚 BTC、350 枚 ETH、1000 万枚 WEMIX 代币和 22 万 USDT。黑客控制了 GDAC 的热钱包,并迅速将部分资金通过 Tornado Cash 混币器洗白。
" p* H1 J7 u9 _- @/ h! T$ b
; j# A1 B* w4 ]
· 2025:六年后的同一天,Upbit 再次沦陷
1 Y* c# C; i/ N* L3 g
六年前的同一天(11 月 27 日),Upbit 曾损失 342,000 枚 ETH。
4 I O/ f9 D+ S! B" L
, N4 ~. a4 ]. X* L' q& t) N
历史再次重演。凌晨 4:42,Upbit 的 Solana 热钱包出现异常资金流出,约 540 亿韩元(3680 万美元)的资产被转移至未知地址。
3 g8 B2 o3 w3 V9 o6 Q( J9 v
0 D0 V: r# b, J9 T( V
2019 年 Upbit 事件之后,2020 年韩国正式实施《特定金融信息法》(特金法),要求所有交易平台取得 ISMS(信息安全管理体系)认证并在银行开设实名账户。大量无法达标的小型交易平台被迫退出市场,行业格局从「百所混战」收缩为少数几家巨头主导。Upbit 凭借 Kakao 系的资源背书和认证的通过,市场份额一度超过 80%。
. k7 {. L w/ S& `, r: i
: J, I& c' x- x9 T' m( v, l9 Q4 O
但六年的合规建设,并没有让 Upbit 逃过这一劫。
7 w/ D/ e# } s3 ]
. e/ N8 B4 V5 z9 u+ F# d% O
截至发稿,Upbit 已宣布将用自有资产全额赔付用户损失,但关于攻击者身份和具体攻击路径,官方尚未公布详细信息。
9 J* J- u' t* v: U5 s
* T4 l7 K* o' S& N- F/ ^- A% R
泡菜溢价 、国家级黑客与核武器
& o, f( G4 W, C O
韩国交易平台频频被盗并非单纯的技术无能,而是地缘ZZ的悲剧投影。
; d# w0 k+ t! H! g
6 B0 Q1 @# J9 ^7 g" s! {) u+ ?4 d4 a
在一个高度中心化、流动性溢价极高且地理位置特殊的市场,韩国交易平台实际上是在用一家商业公司的安防预算,去对抗一个拥有核威慑诉求的国家级黑客部队。
G0 u" w" x2 t9 n( s3 f
( p7 r6 t3 |+ }- f
这支部队有个名字:
Lazarus Group
。
7 ^; V% s( R4 r7 [" C" _( D
/ B! j! ?% f! [8 ^- d
Lazarus 隶属于朝鲜侦察总局(RGB),是平壤最精锐的网络战力量之一。
- C/ P0 f0 u5 q- S) ]! q
: q# T( V* }: P) u2 X z
在转向加密货币之前,他们已经在传统金融领域证明了自己的实力。
/ u/ n+ | r: G9 ?% q. V0 W
" M: d" x# J2 V/ o
2014 年攻破索尼影业,2016 年从孟加拉国央行盗走 8100 万美元,2017 年策划了波及 150 个国家的 WannaCry 勒索病毒。
# I" m2 e4 C) i$ j+ S1 X
% k; F* _5 ?$ }5 M
2017 年起,Lazarus 将目标转向加密货币领域。原因很简单:
( F" B9 }9 w: g' z. z, G6 r
$ S& b) w4 i( A% \) ?
相比传统银行,加密货币交易平台监管更松、安全标准参差不齐,而且一旦得手,资金可以通过链上转移迅速跨境,绕开国际制裁体系。
1 S/ r. v. `3 Q4 a) \% q, c
. Q+ }- Q2 I8 U( f2 t! L8 E1 S" o
而韩国,恰好是最理想的猎场。
7 Q1 Q1 V) y. g
) r3 X2 z- I# \- {, A4 ?# t& d1 \
第一,韩国是地缘对抗的天然目标
。对朝鲜而言,攻击韩国企业不仅能获取资金,还能在「敌国」制造混乱,一举两得。
; p! O1 \8 q. F/ Z, f, z* k4 N
w3 @( R6 U' \# z/ ~2 f" _
第二,泡菜溢价背后是肥美的资金池
。韩国散户对加密货币的狂热举世闻名,而溢价的本质是供不应求,大量韩元涌入,追逐有限的加密资产。
( @* w+ i: D) h6 r8 a
: R4 ]6 A( s& K5 a
这意味着韩国交易平台的热钱包里,长期躺着远超其他市场的流动性。对黑客来说,这就是一座金矿。
1 r" ?& l$ c5 o/ |" W# {) U( R
) `0 H0 ^" O/ Z* `1 q7 P2 V+ i b
第三,语言有优势
。Lazarus 的攻击并非只靠技术暴力破解。他们擅长社会工程学,比如伪造招聘信息、发送钓鱼邮件、冒充客服套取验证码。
9 h5 e: z' m3 C! S2 [
2 s; V$ o4 a) W. s" u9 m2 T4 l
朝韩同文同种,语言障碍为零,这让针对韩国员工和用户的定向钓鱼攻击成功率大幅提升。
4 k, N* J1 F: I
1 k9 ]" I: @/ m- n2 v( W
被盗的钱去哪了?这可能才是故事最有看点的部分。
* T* G4 w7 j& ?- F
# C: K0 s# v6 |- B1 c
根据联合国报告和多家区块链分析公司的追踪,Lazarus 窃取的加密货币最终流向了
朝鲜的核武器和弹道导弹计划
。
) m* c: V. L8 @- Z8 `+ m
, t5 z7 \( s) @; p4 C
此前,路透社援引一份联合国机密报告称,朝鲜使用被盗的加密货币资金来帮助资助其导弹开发计划。
3 r# e5 e0 ~) \, ]
7 \5 `8 o( R/ n: k% j/ K( @
2023 年 5 月,白宫副国家安全顾问 Anne Neuberger 公开表示,朝鲜导弹计划约 50% 的资金来自网络攻击和加密货币盗窃;这一比例相比她 2022 年 7 月给出的「约三分之一」进一步上升。
* I* B% j$ m4 h
: v t& N e- y/ S$ v* z
换句话说,每一次韩国交易平台被盗,都可能在间接为三八线对面的核弹头添砖加瓦。
! ]" ?9 |+ z' ^7 Z
! u3 s2 U7 L! O4 a9 t% f
同时,洗钱路径已经相当成熟:被盗资产先通过「剥离链」技术拆分成无数小额交易,再经由混币器(如 Tornado Cash、Sinbad)混淆来源,然后通过朝鲜自建的交易平台以折扣价兑换成比特币,最后通过中俄的地下渠道兑换成法币。
0 a! t, b+ B/ |0 e
7 j; l) c* h, }- N
2019 年 Upbit 被盗的 34.2 万枚 ETH,韩国警方正式公布调查结果显示: 57% 在疑似朝鲜运营的三家交易平台以低于市场价 2.5% 的价格兑换成比特币,剩余 43% 通过 13 个国家的 51 家交易平台洗白。整个过程历时数年,至今绝大部分资金仍未追回。
( K3 F' v1 N" s" t# u; A. }+ N
$ x* Z0 f% i$ q( Y7 k
这或许是韩国交易平台面临的根本困境:
+ K, n' E/ l8 e! R! c9 K
1 W2 f3 n8 [2 O- p
一边是 Lazarus,一支拥有国家资源支持、可以 24 小时轮班作业、不计成本投入的黑客部队;另一边是 Upbit、Bithumb 这样的商业公司。
2 Z9 p5 }; s" ]! x; j
8 A: B1 @& y( ^+ Y6 \
即便是通过审查的头部交易平台,在面对国家级高持续性威胁攻击时,依然力不从心。
5 ~' H# f3 K" D3 t8 H( V) G
5 d. C6 B1 c2 d; @# `3 {0 q$ D7 X
不只是韩国的问题
$ x2 }4 C0 I9 n0 l, F% ~' n; Y% o" L
八年、十余起攻击、约 2 亿美元损失,如果只把这当作韩国加密行业的本地新闻,就错过了更大的图景。
2 e( `" p; f1 _
# ^# X; F. T$ x2 O# l ]+ G _
韩国交易平台的遭遇,是加密行业与国家级对手博弈的预演。
# t6 D8 l9 K' j# u" v
' v# e6 t7 _. b* j( i+ C" F8 X& g4 c, W
朝鲜是最显眼的玩家,但不是唯一的玩家。俄罗斯某些高威胁攻击组织被指与多起 DeFi 攻击存在关联,伊朗黑客曾针对以色列加密公司发动攻击,朝鲜自己也早已把战场从韩国扩展到全球,比如 2025 年 Bybit 的 15 亿美元、2022 年 Ronin 的 6.25 亿美元,受害者遍布各大洲。
8 d$ x1 O1 H w! a8 w9 @2 M0 ~8 s2 M
/ [. L; _5 t U
( e$ s5 W4 j: w, o! q" U
加密行业有一个结构性矛盾,即一切必须经过中心化的入口。
) a1 z6 s p! Z5 d+ x( X
/ M' {7 c5 U: p8 X+ v5 s: |
无论链本身多么安全,用户的资产终究要通过交易平台、跨链桥、热钱包这些「咽喉要道」流动。
/ @' V/ K% t" [; ^
K9 `+ V6 H& M: t# o% F
这些节点集中了海量资金,却由预算有限的商业公司运营;
对国家级黑客而言,这是效率极高的狩猎场
。
+ Z# L! X& }" X ^2 X7 F* p
' [5 n6 L8 ^5 l- O( {: z, C/ k
攻防双方的资源从根本上不对等,Lazarus 可以失败一百次,交易平台只能失败一次。
; _, p9 w9 M5 ~! @ U7 K
% X: G9 F# e n9 p* H( }: ^4 I
泡菜溢价还会继续吸引全球套利者和本土散户,Lazarus 不会因为被bao光而停手,韩国交易平台与国家级黑客的攻防战远未结束。
% y) C2 @. ?: ]; V! X2 j5 `7 A4 d
: [- t9 |8 r4 B* e5 K
只是希望下一次被盗的,不是你自己的钱。
/ n, H" ?: w% M
5 X8 F8 P ]7 C
4 Y/ z0 }) p, }' I& O& T% q
) }8 P$ {9 r0 ^2 e, o2 f
& i/ z( P. q" H( K# o, T4 f
! }4 p0 B# d! ~( J* W
" ^& ?7 a1 X# f6 I* T
4 ?4 ^0 r; [- t8 ^* e0 v( D
作者:
22301
时间:
2025-11-28 07:49
这个被盗了也是很无奈的事情了。
作者:
赚钱小样
时间:
2025-11-28 10:44
这个核心方面也是很重要的啦。
作者:
whywhy
时间:
2025-11-28 14:46
又是盗币事件,Upbit 运气真糟糕,540 亿韩元不是小数目啊
作者:
rainwang
时间:
2025-11-28 15:25
如此特别的结果,看来真的是有意思了
作者:
垂钓园
时间:
2025-11-28 18:37
这操作太狠了,连SPL代币都不放过,Upbit真是躺枪啊
作者:
爱美的女人
时间:
2025-11-28 21:08
再次被盗也是没有太安全了
作者:
右耳
时间:
2025-11-29 12:59
Upbit这平台真够背,又双叒叕被盯上了,这回损失也太大了
作者:
舞出精彩
时间:
2025-11-29 14:19
那是要在看是什么样的先吧
作者:
小作文
时间:
2025-11-30 13:34
六年前就中过招,Upbit这风控是真让人心累,大额提现还是冷钱包靠谱点
作者:
g9527
时间:
2025-12-1 21:42
又是Upbit被盗,这安全漏洞也太吓人了
作者:
德罗星
时间:
2025-12-3 18:28
很是非常的转载的情况的啊。
作者:
叫我十三
时间:
2025-12-5 07:22
这波 Upbit 真是魔咒了,又到这天就出事,安全还能信吗
作者:
whywhy
时间:
2025-12-8 13:36
又被盗了,Upbit 这次损失惨重啊,教训总结要及时,防范措施也得加强
作者:
g9527
时间:
2025-12-10 17:58
这Upbit咋又给掏空了,六年了还是不长记性啊
作者:
g9527
时间:
2025-12-16 19:13
这Upbit咋又双叒叕被一锅端了,六年了还没长记性啊
作者:
g9527
时间:
2025-12-19 20:56
这Upbit六年了咋还这么不长记性,热钱包跟自家后院似的
作者:
右耳
时间:
2025-12-26 19:11
哎,又见老平台出事,真是让人心里拔凉拔凉的
作者:
叫我十三
时间:
2026-1-6 00:30
哎,这Upbit也是没谁了,隔几年就被盯上一次,这链上战场真不是闹着玩的
作者:
g9527
时间:
2026-1-13 19:29
这Upbit咋又中招了,热钱包跟不设防似的
作者:
右耳
时间:
2026-1-16 17:56
这操作跟割韭菜似的,平台不牢靠,钱包比命还金贵
作者:
g9527
时间:
2026-1-17 18:42
这Upbit六年了还不长记性,热钱包跟公共厕所似的谁都能进
欢迎光临 优惠论坛 (https://www.tcelue.ooo/)
Powered by Discuz! X3.1