Южнокорейские власти выясняют, организовала ли хакерская группа Lazarus из Северной Кореи взлом на $36 млн крупнейшей криптовалютной биржи страны. Атака произошла ровно через шесть лет после предыдущего крупного инцидента безопасности на платформе, также приписываемого этим же спонсируемым государством злоумышленникам.
Upbit в четверг приостановила ввод и вывод средств после обнаружения несанкционированных переводов Solana-активов примерно на 44,5 млрд вон ($36 млн) из горячего кошелька на неизвестные внешние адреса.
Взлом произошёл 27 ноября в 4:42 по местному времени, что спровоцировало немедленный запуск экстренных протоколов и заморозку всех операций на платформе.
Правительственные и отраслевые источники сообщили Yonhap News Agency, что следователи, анализирующие движение средств по кошелькам и векторы проникновения, теперь подозревают, что злоумышленники либо скомпрометировали учётную запись администратора, либо успешно выдали себя за внутреннего оператора — тактика, очень похожая на инцидент 2019 года, когда в результате атаки, позднее связанной с Lazarus и родственной северокорейской группой Andariel, было похищено 342 000 ETH на сумму $50 млн.
Что произошло
Взлом затронул более 20 токенов экосистемы Solana, включая SOL, USDC, BONK, Jupiter, Raydium, Render, Orca и Pyth Network. Компания Dunamu, оператор Upbit, подтвердила несанкционированные выводы и пообещала полностью компенсировать убытки клиентам за счёт операционных резервов. По состоянию на сентябрь, в соответствии с южнокорейским законом о защите криптопользователей, компания сообщала о наличии резервов в размере 67 млрд вон на случай взломов или сбоев систем.
«Мы установили точный объём утёкших цифровых активов и полностью покроем убытки за счёт собственных средств Upbit, чтобы клиенты никак не пострадали», — заявил в пресс-релизе генеральный директор Dunamu О Кён-сок. Биржа перевела оставшиеся активы в холодное хранилище, чтобы предотвратить дополнительные выводы, пока работают эксперты по цифровой криминалистике.
Upbit заморозила примерно 2,3 млрд вон ($1,6 млн) в токенах Solayer с помощью ончейн-мер и координирует действия с эмитентами токенов, чтобы заморозить дополнительные отслеживаемые активы. По данным сотрудников служб безопасности, компании по блокчейн‑форенсике зафиксировали быстрое перемещение средств через множество кошельков и миксование, характерное для предыдущих схем отмывания Lazarus.
«Вместо атаки на сервер хакеры, возможно, скомпрометировали учётные записи администраторов или выдали себя за администраторов для совершения перевода», — сообщил Yonhap правительственный чиновник. Такой подход указывает на целенаправленную манипуляцию учётными записями, а не прямую атаку на инфраструктуру Upbit, что усиливает аналогии с прошлой активностью Lazarus.
Регуляторы из Министерства науки и ИКТ, Комиссии по финансовым услугам и других надзорных органов провели выездные инспекции систем Upbit, сосредоточившись на управлении ключами горячих кошельков и внутренней сетевой безопасности. Биржа заявила, что проводит комплексную проверку всей системы ввода и вывода цифровых активов и будет поэтапно возобновлять сервисы после подтверждения их безопасности.
Компания по блокчейн‑безопасности CertiK отметила, что скорость и масштаб выводов напоминают прошлые атаки, связанные с Lazarus, хотя окончательных ончейн‑доказательств пока нет. Фирма отследила потоки средств по более чем 100 адресам эксплойтера в сети Solana и продолжает мониторинг перемещений, чтобы выявить связи с сетями отмывания, ассоциированными с Lazarus.
Время атаки подпитывает спекуляции относительно мотивов хакеров. Взлом произошёл в тот же день, когда Naver Financial, дочерняя компания корейского интернет‑гиганта Naver, объявила о сделке обмена акциями на $10,3 млрд по приобретению 100% доли Dunamu. В результате слияния Dunamu станет полностью принадлежащей дочерней компанией, а сделка станет одной из наиболее значимых корпоративных трансформаций в корейской криптоиндустрии.
«У хакеров часто есть сильное желание похвастаться», — сказал Yonhap эксперт по безопасности, предположив, что злоумышленники могли намеренно выбрать 27 ноября, чтобы максимизировать внимание на фоне громкого объявления о слиянии. Эта дата также стала ровно шестой годовщиной взлома Upbit в 2019 году — день в день, что подчёркивается в публикациях.
Также читайте: U.S. Senate Schedules Dec. 8 Session On Bill That Would Clarify Crypto Regulatory Authority
Почему это важно
Взлом Upbit стал очередным эпизодом в рекордном по масштабам инцидентов году для криптовалютной индустрии. Потери от хакерских атак и эксплойтов превысили $2,4 млрд в 2025 году, причём основную долю составил взлом биржи Bybit в феврале на $1,5 млрд. Атака на Bybit, крупнейшая в истории криптовалют, также была приписана Lazarus Group из Северной Кореи.
По данным компании CertiK, в первой половине 2025 года убытки от взломов, мошенничеств и эксплойтов достигли $2,47 млрд, что почти на 3% больше, чем $2,4 млрд, похищенных за весь 2024 год. Компрометация кошельков стала самым дорогостоящим вектором атак — свыше $1,7 млрд было похищено в 34 инцидентах. Фишинговые атаки дали наибольшее количество инцидентов безопасности — 132 случая и $410 млн убытков.
Lazarus Group неоднократно использовала широкий спектр тактик, переходя от прямых атак на биржи к атакам на цепочки поставок и компрометации сред разработки. Группа применяет кастомное вредоносное ПО, приёмы социальной инженерии и масштабную инфраструктуру по отмыванию средств, проводя украденные криптоактивы через миксеры и мосты между разными блокчейнами. Эксперты по безопасности отмечают, что Северная Корея, испытывая дефицит иностранной валюты, использует украденную криптовалюту для финансирования деятельности режима.
В ходе расследования взлома Upbit 2019 года было установлено, что более половины похищенного ETH было отмыто через биржевые аккаунты, созданные по поддельным документам, с применением типичных для Lazarus методов, включая переброску средств между кошельками и миксование. Ранее группа неоднократно нацеливалась на криптоплатформы для максимизации эффекта и резонанса, что позволяет предположить, что некоторые атаки намеренно подстраиваются под периоды повышенного общественного внимания.
«Их стандартный подход — раскидывать токены по множеству сетей, чтобы затруднить отслеживание», — заявил сотрудник службы безопасности. Поставщик аналитики блокчейна Dethective сообщил, что связанные с предполагаемым хакером кошельки уже начали перемещать средства, что свидетельствует о запуске процесса отмывания.
Взлом Upbit также подчёркивает сохраняющуюся уязвимость инфраструктуры горячих кошельков, которые остаются подключёнными к сети для обеспечения операционной деятельности. Хотя холодные кошельки, в которых хранится большая часть активов биржи, остались в безопасности, горячие кошельки — обслуживающие активную торговлю и вывод — продолжают быть привлекательной целью для высококвалифицированных атакующих. Даже давние платформы, прошедшие множество аудитов безопасности, не застрахованы: взлом протокола Balancer в ноябре на $128 млн продемонстрировал широту ландшафта угроз.
Способность Upbit полностью возместить клиентам ущерб за счёт операционных резервов даёт некоторую уверенность, однако инцидент представляет собой значимый прямой финансовый удар по бирже и Dunamu на фоне интеграции с Naver Financial. Слияние изначально подавалось как стратегический шаг по инвестированию 10 трлн вон в течение пяти лет в развитие инфраструктуры ИИ и Web3 в Южной Корее. Взлом, произошедший через несколько часов после объявления о сделке, создаёт неловкий фон для нового объединённого бизнеса.
Власти продолжают отслеживать украденные активы с помощью анализа блокчейна и проводить криминалистическую проверку инфраструктуры безопасности Upbit. Биржа пока не обозначила сроки возобновления ввода и вывода средств, хотя аудиты безопасности после инцидентов подобного масштаба обычно занимают несколько дней или дольше — в зависимости от результатов.
Читайте далее: BAT Leads Social Tokens Rally With 100% Surge After Brave Browser Reached 101 Million Users