Otoritas Korea Selatan sedang menyelidiki apakah grup peretas Lazarus dari Korea Utara yang mengoordinasikan pelanggaran senilai $36 juta di bursa kripto terbesar di negara itu, dengan serangan tersebut terjadi tepat enam tahun setelah insiden keamanan besar sebelumnya di platform yang juga dikaitkan dengan aktor yang didukung negara yang sama.
Upbit menghentikan sementara setoran dan penarikan pada hari Kamis setelah mendeteksi transfer tidak sah sekitar 44,5 miliar won ($36 juta) dalam aset berbasis Solana dari hot wallet ke alamat eksternal yang tidak dikenal.
Pelanggaran tersebut terjadi pada pukul 4:42 pagi waktu setempat pada 27 November, memicu protokol darurat segera dan pembekuan layanan transaksi di seluruh platform.
Sumber pemerintah dan industri mengatakan kepada Yonhap News Agency bahwa para penyidik yang menganalisis alur wallet dan vektor intrusi kini menduga para penyerang baik berhasil mengompromikan akun administrator atau berhasil menyamar sebagai operator internal—taktik yang sangat mirip dengan insiden 2019 ketika 342.000 ETH senilai $50 juta dicuri dalam serangan yang kemudian dikaitkan dengan Lazarus dan grup Korea Utara terkait, Andariel.
Apa yang Terjadi
Pelanggaran tersebut memengaruhi lebih dari 20 token ekosistem Solana termasuk SOL, USDC, BONK, Jupiter, Raydium, Render, Orca, dan Pyth Network. Dunamu, operator Upbit, mengonfirmasi penarikan tidak sah itu dan berjanji akan mengganti penuh kerugian pelanggan menggunakan cadangan operasional bursa. Perusahaan melaporkan memegang cadangan sebesar 67 miliar won untuk kejadian peretasan atau kegagalan sistem per September, sesuai dengan undang-undang perlindungan pengguna kripto Korea Selatan.
"Kami telah mengidentifikasi jumlah pasti aset digital yang bocor, dan kami akan sepenuhnya menanggung kerugian tersebut dengan aset Upbit sendiri agar pelanggan tidak terdampak sama sekali," kata Oh Kyung-seok, CEO Dunamu, dalam sebuah pernyataan. Bursa tersebut memindahkan sisa aset ke cold storage untuk mencegah penarikan tambahan sementara tim forensik melakukan investigasi.
Upbit membekukan sekitar 2,3 miliar won ($1,6 juta) token Solayer melalui tindakan on-chain dan berkoordinasi dengan penerbit token untuk membekukan aset terlacak tambahan. Perusahaan forensik blockchain mengidentifikasi transfer cepat lintas banyak wallet dan aktivitas mixing yang konsisten dengan pola pencucian dana Lazarus sebelumnya, menurut pejabat keamanan.
"Alih-alih menyerang server, ada kemungkinan para peretas mengompromikan akun administrator atau menyamar sebagai administrator untuk melakukan transfer," kata seorang pejabat pemerintah kepada Yonhap. Pendekatan ini menunjukkan manipulasi akun yang ditargetkan ketimbang serangan langsung terhadap infrastruktur Upbit, memperkuat perbandingan dengan operasi Lazarus sebelumnya.
Regulator dari Kementerian Sains dan ICT, Komisi Jasa Keuangan, dan badan pengawas lainnya melakukan inspeksi langsung terhadap sistem Upbit, dengan fokus pada pengelolaan kunci hot wallet dan keamanan jaringan internal. Bursa tersebut mengatakan tengah melakukan tinjauan menyeluruh terhadap seluruh sistem setoran dan penarikan aset digital dan akan melanjutkan layanan secara bertahap setelah keamanan dipastikan.
Perusahaan keamanan blockchain CertiK mengamati bahwa kecepatan dan skala penarikan mirip dengan serangan terkait Lazarus sebelumnya, meski mereka belum memiliki bukti pasti di on-chain. Perusahaan itu menelusuri aliran dana dari lebih dari 100 alamat pelaku di Solana dan terus memantau pergerakan untuk melacak keterkaitan dengan jaringan pencucian dana yang berhubungan dengan Lazarus.
Waktu serangan memicu spekulasi tentang motif para peretas. Pelanggaran terjadi pada hari yang sama ketika Naver Financial, anak perusahaan raksasa internet Korea Naver, mengumumkan kesepakatan pertukaran saham senilai $10,3 miliar untuk mengakuisisi seluruh ekuitas Dunamu. Merger tersebut akan menjadikan Dunamu sebagai anak usaha yang sepenuhnya dimiliki dan merupakan salah satu transisi korporasi paling penting di sektor kripto Korea Selatan.
"Peretas cenderung memiliki keinginan kuat untuk pamer," kata seorang pakar keamanan kepada Yonhap, menyiratkan penyerang mungkin sengaja memilih tanggal 27 November untuk memaksimalkan sorotan di tengah pengumuman merger profil tinggi itu. Tanggal tersebut juga menandai hari jadi keenam peretasan Upbit 2019 hingga hari yang sama.
Juga baca: U.S. Senate Schedules Dec. 8 Session On Bill That Would Clarify Crypto Regulatory Authority
Mengapa Ini Penting
Pelanggaran Upbit menjadi insiden terbaru dalam tahun yang memecahkan rekor untuk insiden keamanan kripto. Kerugian dari peretasan dan eksploitasi melampaui $2,4 miliar pada 2025, dengan peretasan besar bursa Bybit senilai $1,5 miliar pada Februari mendominasi totalnya. Serangan Bybit — yang terbesar dalam sejarah kripto — juga dikaitkan dengan Lazarus Group Korea Utara.
Menurut perusahaan keamanan blockchain CertiK, paruh pertama 2025 menyaksikan kerugian $2,47 miliar akibat peretasan, penipuan, dan eksploitasi, naik hampir 3 persen dibandingkan $2,4 miliar yang dicuri sepanjang 2024. Kompromi wallet muncul sebagai vektor serangan paling mahal dengan lebih dari $1,7 miliar dicuri dalam 34 insiden. Serangan phishing menyumbang jumlah insiden keamanan terbanyak dengan 132 pelanggaran dan kerugian $410 juta.
Lazarus Group berulang kali menggunakan berbagai taktik, mulai dari intrusi bursa hingga serangan supply chain dan kompromi lingkungan pengembangan. Grup ini menggunakan klaster malware kustom, umpan rekayasa sosial, dan infrastruktur pencucian dana berskala besar, mengalirkan kripto curian melalui mixer dan bridge lintas berbagai chain. Pakar keamanan mencatat bahwa Korea Utara, yang menghadapi kekurangan mata uang asing, menggunakan kripto curian untuk membiayai aktivitas rezimnya.
Dalam serangan Upbit 2019, para penyidik menyimpulkan bahwa lebih dari separuh ETH yang dicuri dicuci melalui akun bursa yang dibuat dengan identitas palsu, menggunakan metode khas Lazarus termasuk lompatan wallet dan teknik mixing. Kelompok ini sebelumnya menargetkan platform kripto untuk memaksimalkan dampak dan sorotan, mengindikasikan serangan mungkin sengaja diatur untuk memanfaatkan perhatian publik yang meningkat.
"Ini adalah pendekatan standar mereka untuk menyebar token di banyak jaringan guna memutus pelacakan," kata seorang pejabat keamanan. Penyedia analisis blockchain Dethective melaporkan bahwa wallet yang dikaitkan dengan peretas yang dicurigai sudah mulai memindahkan dana, menandakan proses pencucian telah dimulai.
Pelanggaran di Upbit juga menyoroti kerentanan yang terus-menerus pada infrastruktur hot wallet yang tetap terhubung untuk keperluan operasional. Sementara cold wallet yang menyimpan sebagian besar aset bursa tetap aman, hot wallet — yang menangani perdagangan aktif dan penarikan — terus menjadi target menarik bagi penyerang canggih. Bahkan platform lama yang telah melalui banyak audit keamanan pun tidak luput, dengan peretasan protokol Balancer senilai $128 juta pada November menunjukkan luasnya lanskap ancaman.
Kemampuan Upbit untuk mengganti penuh dana pelanggan dari cadangan operasional memberikan sedikit ketenangan, namun insiden ini merupakan pukulan finansial langsung yang signifikan bagi bursa dan Dunamu ketika mereka menavigasi proses integrasi dengan Naver Financial. Merger tersebut diposisikan sebagai langkah strategis untuk menginvestasikan 10 triliun won selama lima tahun guna mengembangkan infrastruktur teknologi AI dan Web3 di Korea Selatan. Peretasan yang terjadi beberapa jam setelah pengumuman akuisisi menciptakan latar belakang yang canggung bagi entitas gabungan yang baru.
Otoritas terus melacak aset yang dicuri melalui analisis blockchain sambil melakukan tinjauan forensik terhadap infrastruktur keamanan Upbit. Bursa belum memberikan garis waktu untuk melanjutkan layanan setoran dan penarikan, meski audit keamanan setelah insiden sebesar ini biasanya memerlukan beberapa hari atau lebih lama tergantung temuan.
Baca selanjutnya: BAT Leads Social Tokens Rally With 100% Surge After Brave Browser Reached 101 Million Users