Die südkoreanischen Behörden untersuchen, ob die nordkoreanische Hackinggruppe Lazarus einen Einbruch in Höhe von 36 Millionen Dollar bei der größten Kryptowährungsbörse des Landes orchestriert hat. Der Angriff erfolgte exakt sechs Jahre nach dem vorherigen großen Sicherheitsvorfall der Plattform, der denselben staatlich unterstützten Akteuren zugeschrieben wurde.
Upbit setzte am Donnerstag Ein- und Auszahlungen aus, nachdem unbefugte Überweisungen von rund 44,5 Milliarden Won (36 Millionen Dollar) in Solana-basierten Vermögenswerten von einer Hot Wallet an unbekannte externe Adressen festgestellt worden waren.
Der Einbruch ereignete sich am 27. November um 4:42 Uhr Ortszeit und löste sofortige Notfallprotokolle sowie einen plattformweiten Freeze aller Transaktionsdienste aus.
Regierungs- und Branchenquellen berichteten der Nachrichtenagentur Yonhap, dass Ermittler, die Wallet-Flüsse und Angriffsvektoren analysieren, inzwischen davon ausgehen, dass die Angreifer entweder ein Administratorkonto kompromittiert oder sich erfolgreich als interner Operator ausgegeben haben – Taktiken, die stark an den Vorfall von 2019 erinnern, bei dem 342.000 ETH im Wert von 50 Millionen Dollar gestohlen wurden, in einem Angriff, der später mit Lazarus und der verwandten nordkoreanischen Gruppe Andariel in Verbindung gebracht wurde.
Was ist passiert
Der Einbruch betraf mehr als 20 Token aus dem Solana-Ökosystem, darunter SOL, USDC, BONK, Jupiter, Raydium, Render, Orca und Pyth Network. Dunamu, der Betreiber von Upbit, bestätigte die unbefugten Abhebungen und sagte eine vollständige Entschädigung der Kunden mithilfe der operativen Reserven der Börse zu. Das Unternehmen meldete, dass es im Rahmen des südkoreanischen Krypto-Anlegerschutzgesetzes zum Stand September 67 Milliarden Won an Rücklagen für Hacks oder Systemausfälle vorhält.
„Wir haben die genaue Höhe der abgeflossenen digitalen Vermögenswerte identifiziert und werden den Verlust vollständig mit Upbits eigenen Mitteln ausgleichen, sodass Kunden in keiner Weise betroffen sind“, erklärte Oh Kyung-seok, CEO von Dunamu, in einer Stellungnahme. Die Börse transferierte verbleibende Vermögenswerte in Cold Storage, um weitere Abhebungen zu verhindern, während forensische Teams ermittelten.
Upbit fror durch On‑Chain‑Maßnahmen Solayer‑Token im Wert von rund 2,3 Milliarden Won (1,6 Millionen Dollar) ein und arbeitet mit Token-Emittenten zusammen, um weitere nachverfolgbare Vermögenswerte zu sperren. Blockchain-Forensikfirmen identifizierten schnelle Transfers über mehrere Wallets hinweg sowie Mixing-Aktivitäten, die laut Sicherheitsbehörden früheren Geldwäschemustern von Lazarus ähneln.
„Anstatt den Server anzugreifen, ist es möglich, dass Hacker Konten von Administratoren kompromittiert oder sich als Administratoren ausgegeben haben, um die Überweisung vorzunehmen“, sagte ein Regierungsvertreter gegenüber Yonhap. Der Ansatz deutet auf eine gezielte Kontenmanipulation statt eines direkten Angriffs auf die Infrastruktur von Upbit hin und verstärkt die Parallelen zu früheren Lazarus-Operationen.
Regulierungsbehörden des Ministeriums für Wissenschaft und IKT, der Finanzaufsichtskommission und anderer Aufsichtsorgane haben Vor-Ort-Prüfungen der Systeme von Upbit eingeleitet, mit Fokus auf das Schlüsselmanagement der Hot Wallets und die interne Netzwerk-Sicherheit. Die Börse erklärte, sie führe eine umfassende Überprüfung ihres gesamten Ein- und Auszahlungssystems für digitale Vermögenswerte durch und werde die Dienste schrittweise wieder aufnehmen, sobald die Sicherheit bestätigt sei.
Die Blockchain-Sicherheitsfirma CertiK beobachtete, dass Geschwindigkeit und Umfang der Abhebungen früheren, mit Lazarus in Verbindung gebrachten Angriffen ähnelten, auch wenn bislang keine endgültigen On‑Chain‑Beweise vorliegen. Das Unternehmen verfolgte die Geldflüsse von über 100 Exploiter-Adressen auf Solana und überwacht weiterhin Bewegungen, um Verbindungen zu Lazarus-nahen Geldwäschenetzwerken zu identifizieren.
Der Zeitpunkt des Angriffs hat Spekulationen über die Motive der Hacker angeheizt. Der Einbruch ereignete sich am selben Tag, an dem Naver Financial, eine Tochter des koreanischen Internetgiganten Naver, einen Aktientausch-Deal im Volumen von 10,3 Milliarden Dollar zur vollständigen Übernahme von Dunamu bekannt gab. Die Fusion würde Dunamu zu einer hundertprozentigen Tochter machen und gilt als einer der folgenreichsten Unternehmensumschwünge in der südkoreanischen Kryptobranche.
„Hacker haben oft ein starkes Bedürfnis, anzugeben“, sagte ein Sicherheitsexperte gegenüber Yonhap und vermutete, die Angreifer hätten den 27. November bewusst gewählt, um während der medienwirksamen Fusionsankündigung maximale Aufmerksamkeit zu erzielen. Das Datum markierte zudem auf den Tag genau den sechsten Jahrestag des Upbit-Hacks von 2019.
Auch lesenswert: U.S. Senate Schedules Dec. 8 Session On Bill That Would Clarify Crypto Regulatory Authority
Warum es wichtig ist
Der Upbit-Einbruch ist der jüngste Fall in einem Rekordjahr für Sicherheitsvorfälle im Kryptobereich. Die Verluste durch Hacks und Exploits überschritten 2025 die Marke von 2,4 Milliarden Dollar, wobei der massive Bybit-Börsenhack im Februar mit 1,5 Milliarden Dollar den Löwenanteil ausmachte. Der Bybit-Angriff – der größte in der Krypto-Geschichte – wurde ebenfalls der nordkoreanischen Lazarus-Gruppe zugeschrieben.
Laut der Blockchain-Sicherheitsfirma CertiK kam es im ersten Halbjahr 2025 zu Verlusten von 2,47 Milliarden Dollar infolge von Hacks, Betrügereien und Exploits, was einem Anstieg von fast 3 Prozent gegenüber den 2,4 Milliarden Dollar entspricht, die im gesamten Jahr 2024 gestohlen wurden. Wallet-Kompromittierungen erwiesen sich mit über 1,7 Milliarden Dollar, die über 34 Vorfälle hinweg entwendet wurden, als teuerster Angriffsvektor. Phishing-Angriffe waren die häufigste Form von Sicherheitsvorfällen mit 132 Einbrüchen und 410 Millionen Dollar Schaden.
Die Lazarus-Gruppe hat wiederholt eine Vielzahl von Taktiken eingesetzt, von Börsenintrusionen über Supply-Chain-Angriffe bis hin zur Kompromittierung von Entwicklerumgebungen. Die Gruppe setzte maßgeschneiderte Malware-Cluster, Social-Engineering-Köder und umfangreiche Geldwäscheinfrastrukturen ein und schleuste gestohlene Kryptowährungen über Mixer und Bridges über verschiedene Chains. Sicherheitsexperten betonen, dass Nordkorea angesichts von Devisenknappheit gestohlene Kryptowährungen zur Finanzierung von Regimeaktivitäten nutzt.
Beim Upbit-Angriff 2019 kamen Ermittler zu dem Schluss, dass mehr als die Hälfte der gestohlenen ETH über Börsenkonten gewaschen wurde, die mit falschen Identitäten eröffnet worden waren, wobei Methoden zum Einsatz kamen, die für Lazarus typisch sind, darunter Wallet-Hopping und Mixing-Techniken. Die Gruppe hat zuvor Krypto-Plattformen ins Visier genommen, um Wirkung und Sichtbarkeit zu maximieren, was darauf hindeutet, dass Angriffe bewusst so inszeniert werden, dass sie Phasen besonderer öffentlicher Aufmerksamkeit ausnutzen.
„Es gehört zu ihrem Standardvorgehen, Token über mehrere Netzwerke zu streuen, um die Nachverfolgung zu erschweren“, sagte ein Sicherheitsbeamter. Der Blockchain-Analyseanbieter Dethective berichtete, dass mit dem mutmaßlichen Hacker in Verbindung stehende Wallets bereits begonnen haben, Gelder zu bewegen, was darauf hinweist, dass der Geldwäscheprozess im Gange ist.
Der Einbruch bei Upbit verdeutlicht zudem anhaltende Schwachstellen in der Hot-Wallet-Infrastruktur, die für den laufenden Betrieb online bleiben muss. Während Cold Wallets, in denen der Großteil der Börsenvermögen verwahrt wird, sicher blieben, stellen Hot Wallets – die den aktiven Handel und Abhebungen abwickeln – weiterhin attraktive Ziele für hochentwickelte Angreifer dar. Selbst langjährig etablierte Plattformen, die zahlreiche Sicherheitsaudits durchlaufen haben, blieben nicht verschont; der 128‑Millionen‑Dollar‑Hack des Balancer‑Protokolls im November zeigt die Breite der Bedrohungslage.
Dass Upbit seine Kunden vollständig aus operativen Rücklagen entschädigen kann, bietet zwar eine gewisse Beruhigung, der Vorfall bedeutet jedoch einen erheblichen direkten finanziellen Schlag für die Börse und Dunamu, während das Unternehmen die Integration mit Naver Financial vorantreibt. Die Übernahme war als strategischer Schritt positioniert worden, um innerhalb von fünf Jahren 10 Billionen Won in den Aufbau von KI- und Web3‑Technologieinfrastruktur in Südkorea zu investieren. Dass der Hack nur wenige Stunden nach der Übernahmeankündigung stattfand, schafft einen heiklen Hintergrund für die neu kombinierte Einheit.
Die Behörden verfolgen die gestohlenen Vermögenswerte weiterhin mittels Blockchain-Analyse und führen forensische Überprüfungen der Sicherheitsinfrastruktur von Upbit durch. Die Börse hat keinen Zeitplan für die Wiederaufnahme von Ein- und Auszahlungen genannt, doch Sicherheitsprüfungen nach Vorfällen dieses Ausmaßes dauern in der Regel mehrere Tage oder länger, abhängig von den Ergebnissen.
Als Nächstes lesen: BAT Leads Social Tokens Rally With 100% Surge After Brave Browser Reached 101 Million Users