Południowokoreańskie władze badają, czy północnokoreańska grupa hakerska Lazarus zorganizowała włamanie na 36 mln USD do największej giełdy kryptowalut w kraju, przy czym atak nastąpił dokładnie sześć lat po poprzednim poważnym incydencie bezpieczeństwa tej platformy, przypisywanym tym samym aktorom sponsorowanym przez państwo.
Upbit w czwartek zawiesił depozyty i wypłaty po wykryciu nieautoryzowanych transferów około 44,5 mld wonów (36 mln USD) w aktywach opartych na Solanie z gorącego portfela na nieznane zewnętrzne adresy.
Do włamania doszło o 4:42 rano czasu lokalnego 27 listopada, co uruchomiło natychmiastowe procedury awaryjne i ogólnoplatformowe zamrożenie wszystkich usług transakcyjnych.
Rządowe i branżowe źródła poinformowały agencję Yonhap, że śledczy analizujący przepływy z portfeli i wektory włamania podejrzewają, iż atakujący albo skompromitowali konto administratora, albo skutecznie podszyli się pod wewnętrznego operatora – taktyki ściśle odzwierciedlające incydent z 2019 r., kiedy skradziono 342 000 ETH o wartości 50 mln USD w ataku później powiązanym z Lazarus i powiązaną północnokoreańską grupą Andariel.
Co się stało
Włamanie dotknęło ponad 20 tokenów ekosystemu Solany, w tym SOL, USDC, BONK, Jupiter, Raydium, Render, Orca i Pyth Network. Dunamu, operator Upbit, potwierdził nieautoryzowane wypłaty i zobowiązał się do pełnego zwrotu środków klientom z wykorzystaniem rezerw operacyjnych giełdy. Spółka zgłosiła, że we wrześniu dysponowała rezerwami w wysokości 67 mld wonów na wypadek włamań lub awarii systemu, zgodnie z południowokoreańską ustawą o ochronie użytkowników krypto.
„Zidentyfikowaliśmy dokładną kwotę wyciekłych aktywów cyfrowych i w pełni pokryjemy stratę z własnych środków Upbit, aby klienci w żaden sposób nie ucierpieli” – powiedział w oświadczeniu Oh Kyung-seok, dyrektor generalny Dunamu. Giełda przeniosła pozostałe aktywa do zimnego przechowywania, aby zapobiec dodatkowym wypłatom, podczas gdy zespoły śledcze prowadziły analizy.
Upbit zamroził około 2,3 mld wonów (1,6 mln USD) w tokenach Solayer za pomocą działań on-chain i współpracuje z emitentami tokenów, aby zamrozić dodatkowe możliwe do wyśledzenia aktywa. Firmy zajmujące się analizą blockchain zidentyfikowały szybkie transfery między wieloma portfelami oraz mieszanie środków, zgodne z wcześniejszymi schematami prania środków przez Lazarus, jak podają przedstawiciele służb bezpieczeństwa.
„Zamiast atakować serwer, możliwe jest, że hakerzy skompromitowali konta administratorów lub podszyli się pod administratorów, aby wykonać transfer” – powiedział urzędnik rządowy Yonhap. Podejście to wskazuje na ukierunkowaną manipulację kontem, a nie bezpośredni atak na infrastrukturę Upbit, co wzmacnia porównania z wcześniejszymi operacjami Lazarus.
Regulatorzy z Ministerstwa Nauki i ICT, Komisji Usług Finansowych oraz innych organów nadzorczych rozpoczęli inspekcje na miejscu w systemach Upbit, koncentrując się na zarządzaniu kluczami gorących portfeli i wewnętrznym bezpieczeństwie sieci. Giełda poinformowała, że prowadzi kompleksowy przegląd całego systemu depozytów i wypłat aktywów cyfrowych i będzie stopniowo wznawiać usługi, gdy tylko bezpieczeństwo zostanie potwierdzone.
Firma zajmująca się bezpieczeństwem blockchain CertiK zauważyła, że tempo i skala wypłat przypominały wcześniejsze ataki związane z Lazarus, choć na razie nie posiada ona ostatecznych dowodów on-chain. Spółka śledziła przepływ środków z ponad 100 adresów exploiterów w sieci Solana i kontynuuje monitorowanie ruchów, aby prześledzić powiązania z sieciami prania środków związanymi z Lazarus.
Czas ataku podsycił spekulacje na temat motywów hakerów. Do włamania doszło tego samego dnia, kiedy Naver Financial, spółka zależna koreańskiego giganta internetowego Naver, ogłosiła transakcję wymiany akcji o wartości 10,3 mld USD w celu przejęcia całego kapitału Dunamu. Fuzja uczyniłaby Dunamu w pełni zależną spółką i byłaby jedną z najważniejszych transformacji korporacyjnych w południowokoreańskiej branży krypto.
„Hakerzy często mają silną potrzebę popisania się” – powiedział ekspert ds. bezpieczeństwa Yonhap, sugerując, że atakujący mogli celowo wybrać 27 listopada, aby zmaksymalizować uwagę podczas głośnego ogłoszenia fuzji. Data ta była również szóstą rocznicą ataku na Upbit z 2019 r., co do dnia.
Also read: U.S. Senate Schedules Dec. 8 Session On Bill That Would Clarify Crypto Regulatory Authority
Dlaczego to ważne
Włamanie do Upbit stanowi najnowszy incydent w rekordowym pod względem skali roku, jeśli chodzi o bezpieczeństwo kryptowalut. Straty z powodu hacków i exploitów przekroczyły 2,4 mld USD w 2025 r., przy czym ogromny atak na giełdę Bybit na 1,5 mld USD w lutym zdominował te statystyki. Atak na Bybit – największy w historii krypto – również przypisano północnokoreańskiej grupie Lazarus.
Według firmy bezpieczeństwa blockchain CertiK w pierwszej połowie 2025 r. odnotowano 2,47 mld USD strat spowodowanych włamaniami, oszustwami i exploitami, co oznacza prawie 3‑procentowy wzrost w porównaniu z 2,4 mld USD skradzionymi w całym 2024 r. Kompromitacja portfeli okazała się najbardziej kosztownym wektorem ataku – skradziono ponad 1,7 mld USD w 34 incydentach. Ataki phishingowe stanowiły największą liczbę incydentów bezpieczeństwa – 132 naruszenia i 410 mln USD strat.
Grupa Lazarus wielokrotnie stosowała różnorodne taktyki, przechodząc od włamań na giełdy do ataków na łańcuch dostaw i kompromitacji środowisk deweloperskich. Grupa wykorzystywała niestandardowe klastry złośliwego oprogramowania, przynęty socjotechniczne oraz rozbudowaną infrastrukturę do prania środków, kierując skradzione kryptowaluty przez mixery i mosty między różnymi łańcuchami. Eksperci ds. bezpieczeństwa zauważają, że Korea Północna, borykająca się z niedoborem walut obcych, wykorzystuje skradzione kryptowaluty do finansowania działań reżimu.
W ataku na Upbit w 2019 r. śledczy ustalili, że ponad połowa skradzionego ETH została wyprana przez konta giełdowe założone na fałszywe tożsamości, przy użyciu metod typowych dla Lazarus, w tym przeskakiwania między portfelami i technik mieszania. Grupa wcześniej atakowała platformy krypto, aby zmaksymalizować wpływ i rozgłos, co sugeruje, że ataki mogą być celowo inscenizowane, by wykorzystać wzmożoną uwagę opinii publicznej.
„To ich standardowe podejście – rozproszyć tokeny po wielu sieciach, aby utrudnić śledzenie” – powiedział urzędnik ds. bezpieczeństwa. Dostawca analiz blockchain Dethective poinformował, że portfele powiązane z podejrzewanym hakerem już rozpoczęły przesuwanie środków, co wskazuje, że proces prania pieniędzy się rozpoczął.
Włamanie do Upbit podkreśla również utrzymujące się luki w infrastrukturze gorących portfeli, które pozostają podłączone do sieci ze względów operacyjnych. Choć zimne portfele przechowujące większość aktywów giełdy pozostały bezpieczne, gorące portfele – obsługujące aktywny handel i wypłaty – nadal stanowią atrakcyjny cel dla zaawansowanych atakujących. Nawet długo działające platformy, które przechodziły liczne audyty bezpieczeństwa, nie są wolne od zagrożeń, o czym świadczy listopadowy atak na protokół Balancer na 128 mln USD, pokazujący szeroki zakres krajobrazu zagrożeń.
Zdolność Upbit do pełnego zwrotu środków klientom z rezerw operacyjnych zapewnia pewne poczucie bezpieczeństwa, ale incydent stanowi znaczący bezpośredni cios finansowy dla giełdy i Dunamu w momencie, gdy spółka przechodzi integrację z Naver Financial. Fuzja była przedstawiana jako strategiczny krok, zakładający inwestycję 10 bln wonów w ciągu pięciu lat w rozwój infrastruktury technologii AI i Web3 w Korei Południowej. Włamanie, do którego doszło kilka godzin po ogłoszeniu przejęcia, tworzy niezręczne tło dla nowo połączonego podmiotu.
Władze w dalszym ciągu śledzą skradzione aktywa za pomocą analiz blockchain, jednocześnie prowadząc szczegółowy przegląd infrastruktury bezpieczeństwa Upbit. Giełda nie podała terminu wznowienia usług wpłat i wypłat, choć audyty bezpieczeństwa po incydentach tej skali zazwyczaj trwają kilka dni lub dłużej, w zależności od ustaleń.
Read next: BAT Leads Social Tokens Rally With 100% Surge After Brave Browser Reached 101 Million Users