韓国当局は、北朝鮮のハッカー集団 Lazarus が同国最大の暗号資産(仮想通貨)取引所で発生した3,600万ドル規模の侵害を主導したかどうかを捜査している。この攻撃は、同じ国家支援グループに起因するとされた前回の大規模インシデントからちょうど6年後に発生した。
Upbit は、ホットウォレットから外部の不明アドレスに約445億ウォン(3,600万ドル)相当のソラナ系資産が不正送金されたことを検知し、木曜日に入出金を停止した。
この侵害は現地時間11月27日午前4時42分に発生し、直ちに緊急プロトコルが発動され、プラットフォーム全体で全ての取引サービスが凍結された。
政府および業界関係者は聯合ニュースに対し、ウォレットフローと侵入経路を分析した結果、攻撃者は管理者アカウントを侵害したか、あるいは内部オペレーターになりすますことに成功した可能性が高いと述べた。これは、34万2,000ETH(約5,000万ドル)が盗まれ、後にラザルスおよび北朝鮮関連グループ Andariel に結びつけられた2019年の事件と極めて似た手口だという。
何が起きたのか
この侵害では、SOL、USDC、BONK、Jupiter、Raydium、Render、Orca、Pyth Network を含む20種以上のソラナエコシステムトークンが影響を受けた。Upbitを運営する Dunamu は、不正な出金があったことを認め、取引所の運営準備金を用いて顧客に全額補償する方針を示した。同社は、韓国の暗号資産利用者保護法に基づき、ハッキングやシステム障害に備えて9月時点で670億ウォンの準備金を保有していたと報告している。
「流出したデジタル資産の正確な数量を把握しており、顧客に一切の影響が及ばないよう、Upbit自身の資産で損失を全額補填します」と、Dunamuの オ・ギョンソク CEOは声明で述べた。取引所は残存資産をコールドウォレットへ移し、フォレンジックチームが調査を行う間、追加の出金を防いだ。
Upbitはオンチェーン対策により約23億ウォン(160万ドル)相当のSolayerトークンを凍結し、トークン発行体と連携して、追跡可能な資産の追加凍結を進めている。ブロックチェーン・フォレンジック企業は、複数ウォレット間での高速な資金移動やミキシング行為を確認しており、これまでのラザルスによる資金洗浄パターンと一致するとセキュリティ当局は述べている。
「サーバーを直接攻撃したのではなく、ハッカーが管理者アカウントを侵害したか、管理者になりすまして送金を行った可能性があります」と政府関係者は聯合ニュースに語った。このアプローチは、Upbitのインフラそのものへの直接攻撃ではなく、標的型のアカウント操作であることを示しており、過去のラザルス作戦との類似性を強めている。
科学技術情報通信部や金融委員会などの監督当局は、ホットウォレット鍵管理や内部ネットワークセキュリティに焦点を当て、Upbitのシステムに対する現地検査を開始した。取引所側は、デジタル資産の入出金システム全体の包括的な見直しを行っており、安全性が確認され次第、段階的にサービスを再開するとしている。
ブロックチェーンセキュリティ企業 CertiK は、出金のスピードと規模がこれまでのラザルス関連攻撃に似ていると指摘する一方で、オンチェーン上での決定的な証拠はまだ得られていないと述べた。同社はソラナ上の100以上の攻撃者アドレスの資金フローを追跡し続け、ラザルス関連の資金洗浄ネットワークとの接点を監視している。
攻撃のタイミングは、ハッカーの動機に関する憶測を呼んでいる。この侵害は、韓国ネット大手ネイバーの子会社Naver Financialが、Dunamuの全株式を取得する103億ドル規模の株式交換取引を発表した当日と重なった。この合併によりDunamuは完全子会社となり、韓国の暗号資産業界で最も重要な企業再編の一つになるとみられていた。
「ハッカーは見せつけたいという欲求が強い傾向があります」と、あるセキュリティ専門家は聯合ニュースに語り、攻撃者は注目度の高い合併発表のタイミングに合わせて11月27日を意図的に選んだ可能性を示唆した。この日は、2019年のUpbitハッキングからちょうど6年目にあたる記念日でもあった。day
Also read: U.S. Senate Schedules Dec. 8 Session On Bill That Would Clarify Crypto Regulatory Authority
なぜ重要なのか
Upbitの侵害は、暗号資産業界で記録的な被害が続いている2025年の最新事例となった。2025年のハッキングおよびエクスプロイトによる損失は240億ドルを超え、その大半を2月のBybit取引所への150億ドル規模のハッキングが占めている。このBybit攻撃は暗号史上最大の被害額となり、これも北朝鮮のラザルスグループの犯行とされている。
ブロックチェーンセキュリティ企業 CertiK によると、2025年上半期だけで、ハッキングや詐欺、エクスプロイトによる損失は247億ドルに達し、2024年通年の被害額240億ドルから約3%増加した。ウォレット侵害は最もコストの高い攻撃ベクターとなり、34件のインシデントで170億ドル以上が奪われた。フィッシング攻撃は132件と件数が最も多く、被害額は4億1,000万ドルに上った。
ラザルスグループは、取引所侵入からサプライチェーン攻撃、開発環境の侵害に至るまで、多様な戦術を繰り返し用いてきた。同グループはカスタムマルウェアのクラスターやソーシャルエンジニアリングによる誘導、大規模な資金洗浄インフラを展開し、盗んだ暗号資産を複数チェーンのミキサーやブリッジ経由で移動させている。専門家は、外貨不足に直面する北朝鮮が、政権活動の資金調達に盗難暗号資産を利用していると指摘する。
2019年のUpbit攻撃では、盗まれたETHの半分以上が、偽名で開設された取引所口座を通じて洗浄されたと捜査当局は結論づけた。ウォレットホッピングやミキシングといったラザルス典型の手法が使われていた。同グループはこれまでにも、インパクトと露出を最大化するため暗号資産プラットフォームを標的としてきており、世間の注目が高まるタイミングを狙って攻撃を仕掛けている可能性がある。
「追跡を困難にするため、複数ネットワークにトークンを拡散させるのが彼らの標準的な手口です」と、あるセキュリティ当局者は語った。ブロックチェーン分析プロバイダーのDethectiveは、容疑者のウォレットとされるアドレス群がすでに資金移動を開始しており、洗浄プロセスが進行中であると報告している。
今回のUpbitでの侵害は、運用上オンライン接続を維持せざるを得ないホットウォレットインフラの脆弱性が依然として根強いことも浮き彫りにした。取引所資産の大半を保管するコールドウォレットは安全だった一方で、取引や出金に用いられるホットウォレットは、高度な攻撃者にとって依然として魅力的な標的だ。多数のセキュリティ監査を重ねてきた老舗プラットフォームでさえ例外ではなく、11月に発生した1億2,800万ドル規模のBalancerプロトコルハックは、脅威の裾野の広さを示した。
Upbitが運営準備金から顧客へ全額補償できることは一定の安心材料となるものの、このインシデントは、Naver Financialとの統合作業を進める中で、取引所およびDunamuにとって大きな直接的財務負担となる。今回の合併は、今後5年間で1兆ウォンを投じ、韓国国内でAIおよびWeb3技術インフラを整備する戦略的投資と位置づけられていた。買収発表から数時間後に発生したハッキングは、新たに統合される企業体にとって、気まずい出発点となった。
当局は、Upbitのセキュリティインフラに対するフォレンジック調査を進める一方で、ブロックチェーン分析を通じて盗難資産の追跡を継続している。取引所は入出金サービス再開の具体的なタイムラインを示していないが、この規模のインシデント後に実施されるセキュリティ監査には、調査結果次第で数日以上を要するのが一般的だ。
Read next: BAT Leads Social Tokens Rally With 100% Surge After Brave Browser Reached 101 Million Users