De Zuid-Koreaanse autoriteiten onderzoeken of de Noord-Koreaanse hackergroep Lazarus een inbraak van 36 miljoen dollar heeft georganiseerd bij de grootste cryptobeurs van het land, waarbij de aanval precies zes jaar plaatsvond na het vorige grote beveiligingsincident op het platform dat aan dezelfde door de staat gesteunde actoren werd toegeschreven.
Upbit schortte donderdag stortingen en opnames op nadat ongeautoriseerde overboekingen waren gedetecteerd van ongeveer 44,5 miljard won (36 miljoen dollar) aan Solana-gebaseerde activa van een hotwallet naar onbekende externe adressen.
De inbraak vond plaats om 4.42 uur lokale tijd op 27 november en leidde tot onmiddellijke noodprotocollen en een platformbrede freeze op alle transactiediensten.
Overheids- en industriebronnen vertelden het persbureau Yonhap dat onderzoekers die de walletflows en inbraakvectoren analyseren nu vermoeden dat aanvallers ofwel een beheerdersaccount hebben gecompromitteerd of zich met succes hebben voorgedaan als een interne operator – tactieken die sterk lijken op het incident van 2019, toen 342.000 ETH ter waarde van 50 miljoen dollar werden gestolen bij een aanval die later werd gelinkt aan Lazarus en de verwante Noord-Koreaanse groep Andariel.
Wat er gebeurde
De inbraak trof meer dan 20 tokens in het Solana-ecosysteem, waaronder SOL, USDC, BONK, Jupiter, Raydium, Render, Orca en Pyth Network. Dunamu, de exploitant van Upbit, bevestigde de ongeautoriseerde opnames en beloofde volledige compensatie aan klanten met gebruik van de operationele reserves van de beurs. Het bedrijf meldde dat het per september 67 miljard won in reserve hield voor hacks of systeemstoringen, in lijn met de Zuid-Koreaanse wet op de bescherming van cryptogebruikers.
„We hebben het exacte bedrag aan digitale activa geïdentificeerd dat is uitgelekt, en we zullen het verlies volledig dekken met Upbits eigen activa zodat klanten op geen enkele manier worden getroffen”, zei Oh Kyung-seok, CEO van Dunamu, in een verklaring. De beurs verplaatste resterende activa naar cold storage om verdere opnames te voorkomen terwijl forensische teams onderzoek deden.
Upbit bevroor ongeveer 2,3 miljard won (1,6 miljoen dollar) aan Solayer-tokens via on-chainmaatregelen en werkt samen met tokenuitgevers om extra traceerbare activa te bevriezen. Blockchain-forensische bedrijven identificeerden snelle overboekingen via meerdere wallets en mixing-activiteiten die volgens beveiligingsfunctionarissen overeenkomen met eerdere witwaspatronen van Lazarus.
„In plaats van de server aan te vallen, is het mogelijk dat hackers accounts van beheerders hebben gecompromitteerd of zich als beheerders hebben voorgedaan om de overboeking te doen”, zei een overheidsfunctionaris tegen Yonhap. De aanpak wijst op gerichte accountmanipulatie in plaats van een directe aanval op de infrastructuur van Upbit, wat de vergelijking met eerdere operaties van Lazarus versterkt.
Toezichthouders van het Ministerie van Wetenschap en ICT, de Financial Services Commission en andere controlerende instanties zijn gestart met inspecties ter plaatse van de systemen van Upbit, met een focus op het beheer van hotwallet-sleutels en de interne netwerkbeveiliging. De beurs zegt een algehele beoordeling uit te voeren van haar volledige systeem voor stortingen en opnames van digitale activa en de diensten gefaseerd te hervatten zodra de veiligheid is bevestigd.
Blockchain-beveiligingsbedrijf CertiK merkte op dat de snelheid en omvang van de opnames deed denken aan eerdere aanvallen die aan Lazarus werden gelinkt, al beschikt het bedrijf nog niet over definitief on-chainbewijsmateriaal. Het bedrijf volgde de geldstromen van meer dan 100 aanvallersadressen op Solana en blijft de bewegingen monitoren om verbindingen met aan Lazarus gelieerde witwasnetwerken te traceren.
De timing van de aanval heeft speculaties aangewakkerd over de motieven van de hackers. De inbraak vond plaats op dezelfde dag dat Naver Financial, een dochter van internetgigant Naver, een aandelenswapdeal van 10,3 miljard dollar aankondigde om alle aandelen van Dunamu over te nemen. De fusie zou van Dunamu een volledig dochterbedrijf maken en een van de meest ingrijpende zakelijke transities in de Zuid-Koreaanse cryptosector vormen.
„Hackers hebben vaak een sterke behoefte om zich te profileren”, zei een beveiligingsexpert tegen Yonhap, die suggereerde dat aanvallers 27 november mogelijk bewust kozen om maximale aandacht te trekken tijdens de hoogprofiel-fusieaankondiging. De datum markeerde bovendien tot op de dag de zesde verjaardag van de hack op Upbit in 2019.
Ook lezen: U.S. Senate Schedules Dec. 8 Session On Bill That Would Clarify Crypto Regulatory Authority
Waarom het ertoe doet
De inbraak bij Upbit is de nieuwste in wat is uitgegroeid tot een recordjaar voor beveiligingsincidenten in de cryptosector. Verliezen door hacks en exploits overschreden in 2025 de 2,4 miljard dollar, waarbij de enorme hack van 1,5 miljard dollar bij Bybit in februari het grootste deel van het totaal uitmaakte. De Bybit‑aanval – de grootste in de cryptogeschiedenis – werd eveneens toegeschreven aan de Noord-Koreaanse Lazarus Group.
Volgens blockchain-beveiligingsbedrijf CertiK bedroegen de verliezen door hacks, scams en exploits in de eerste helft van 2025 2,47 miljard dollar, bijna 3 procent meer dan de 2,4 miljard dollar die in heel 2024 werd gestolen. Compromittering van wallets kwam naar voren als de duurste aanvalsvector, met ruim 1,7 miljard dollar die werd gestolen in 34 incidenten. Phishingaanvallen zorgden voor het hoogste aantal beveiligingsincidenten, met 132 inbraken en 410 miljoen dollar aan schade.
De Lazarus Group heeft herhaaldelijk uiteenlopende tactieken ingezet, variërend van inbraken bij beurzen tot supply‑chainaanvallen en het compromitteren van ontwikkelomgevingen. De groep heeft gebruikgemaakt van op maat gemaakte malwareclusters, social‑engineeringlokken en omvangrijke witwasinfrastructuur, waarbij gestolen cryptovaluta via mixers en bridges over verschillende ketens wordt geleid. Beveiligingsexperts merken op dat Noord‑Korea, dat kampt met tekorten aan buitenlandse valuta, gestolen cryptovaluta inzet om activiteiten van het regime te financieren.
In de Upbit‑aanval van 2019 concludeerden onderzoekers dat meer dan de helft van de gestolen ETH werd witgewassen via beursrekeningen die met valse identiteiten waren geopend, met methoden die typisch zijn voor Lazarus, waaronder wallet‑hopping en mixingtechnieken. De groep had eerder cryptoplatforms geviseerd om de impact en zichtbaarheid te maximaliseren, wat suggereert dat aanvallen bewust worden geënsceneerd om in te spelen op verhoogde publieke aandacht.
„Het is hun standaardaanpak om tokens over meerdere netwerken te verspreiden om tracking te doorbreken”, zei een beveiligingsfunctionaris. Blockchainanalyseprovider Dethective meldde dat wallets die zijn gelinkt aan de vermoedelijke hacker al zijn begonnen met het verplaatsen van fondsen, wat erop wijst dat het witwasproces is gestart.
De inbraak bij Upbit onderstreept ook de aanhoudende kwetsbaarheden in hotwallet‑infrastructuur die voor operationele doeleinden verbonden blijft. Hoewel cold wallets, waarin het merendeel van de beursactiva wordt bewaard, veilig bleven, vormen hot wallets – die actieve handel en opnames afhandelen – nog altijd aantrekkelijke doelwitten voor geavanceerde aanvallers. Zelfs lang bestaande platforms die talloze security‑audits hebben ondergaan, zijn niet gespaard gebleven, zoals de hack van 128 miljoen dollar bij het Balancer‑protocol in november laat zien en de breedte van het dreigingslandschap illustreert.
Dat Upbit klanten volledig kan vergoeden uit operationele reserves biedt enige geruststelling, maar het incident betekent een aanzienlijke directe financiële klap voor de beurs en Dunamu, juist terwijl het bedrijf de integratie met Naver Financial doorloopt. De fusie was gepositioneerd als een strategische stap om in vijf jaar tijd 10 biljoen won te investeren in de ontwikkeling van AI‑ en Web3‑technologie‑infrastructuur in Zuid‑Korea. De hack, enkele uren na de overnameaankondiging, zorgt voor een ongemakkelijke achtergrond voor de nieuw gevormde entiteit.
Autoriteiten blijven de gestolen activa volgen via blockchainanalyse, terwijl ze forensische beoordelingen uitvoeren van de beveiligingsinfrastructuur van Upbit. De beurs heeft geen tijdlijn gegeven voor het hervatten van stortings- en opnamediensten, al vergen security‑audits na incidenten van deze omvang doorgaans meerdere dagen of langer, afhankelijk van de bevindingen.
Lees hierna: BAT Leads Social Tokens Rally With 100% Surge After Brave Browser Reached 101 Million Users