Органи влади Південної Кореї з’ясовують, чи організувала північнокорейська хакерська група Lazarus злам на $36 млн найбільшої в країні криптобіржі, при цьому атака сталася рівно через шість років після попереднього великого інциденту безпеки на платформі, який також приписували цим державно підтримуваним зловмисникам.
Upbit призупинила депозити та виведення коштів у четвер після виявлення несанкціонованих переказів Solana-активів на суму близько 44,5 млрд вон ($36 млн) з гарячого гаманця на невідомі зовнішні адреси.
Злам стався о 4:42 ранку за місцевим часом 27 листопада, що одразу запустило надзвичайні протоколи та загальнобіржове заморожування усіх транзакційних сервісів.
Як повідомили урядові та галузеві джерела агентству Yonhap, слідчі, які аналізують рух коштів і вектори проникнення, зараз підозрюють, що нападники або зламали обліковий запис адміністратора, або успішно видавали себе за внутрішнього оператора – тактика, що тісно нагадує інцидент 2019 року, коли було викрадено 342 000 ETH на $50 млн унаслідок атаки, яку пізніше пов’язали з Lazarus і спорідненою північнокорейською групою Andariel.
Що сталося
Злам зачепив понад 20 токенів екосистеми Solana, зокрема SOL, USDC, BONK, Jupiter, Raydium, Render, Orca та Pyth Network. Компанія Dunamu, що керує Upbit, підтвердила несанкціоновані виведення та пообіцяла повністю компенсувати втрати клієнтам за рахунок операційних резервів. Станом на вересень, згідно із законом Південної Кореї про захист користувачів криптоактивів, компанія тримала 67 млрд вон у резервах на випадок зламів або збоїв систем.
«Ми встановили точний обсяг цифрових активів, які було виведено, і повністю покриємо збитки за рахунок власних активів Upbit, щоб клієнти жодним чином не постраждали», – заявив у зверненні генеральний директор Dunamu О Кьон-сок. Біржа перевела решту активів у холодне сховище, щоб запобігти додатковим виведенням, поки триває форензичне розслідування.
Upbit заморозила приблизно 2,3 млрд вон ($1,6 млн) у токенах Solayer за допомогою ончейн-інструментів і координує дії з емітентами токенів, щоб заблокувати додаткові відстежувані активи. За словами фахівців із безпеки, блокчейн-аналітичні компанії виявили швидкі перекази через низку гаманців і міксування коштів, що відповідає раніше зафіксованим схемам відмивання Lazarus.
«Замість атаки на сервер хакери могли зламати акаунти адміністраторів або видавати себе за адміністраторів, щоб здійснити переказ», – сказав представник уряду Yonhap. Такий підхід вказує на цілеспрямовану маніпуляцію обліковими записами, а не на прямий напад на інфраструктуру Upbit, що посилює аналогії з попередніми операціями Lazarus.
Регулятори з Міністерства науки та ІКТ, Комісії з фінансових послуг та інших наглядових органів розпочали виїзні перевірки систем Upbit, приділяючи основну увагу управлінню ключами гарячих гаманців та внутрішній мережевій безпеці. Біржа заявила, що проводить комплексний аудит усієї системи депозитів і виведення цифрових активів та відновить сервіси поетапно після підтвердження безпечної роботи.
Блокчейн-компанія з безпеки CertiK зазначила, що швидкість і масштаб виведень нагадують попередні атаки, пов’язані з Lazarus, хоча остаточних ончейн-доказів наразі немає. Компанія відстежує рух коштів більш ніж по 100 експлойтерських адресах у мережі Solana й продовжує моніторинг, щоб виявити зв’язки з відомими мережами відмивання Lazarus.
Час атаки підігрів спекуляції щодо мотивів хакерів. Злам стався того ж дня, коли Naver Financial, дочірня компанія корейського інтернет-гіганта Naver, оголосила про акціонерну угоду на $10,3 млрд щодо придбання всієї частки в Dunamu. У результаті Dunamu має стати стовідсотковою «дочкою» Naver, а сама операція – однією з найважливіших корпоративних угод у криптосекторі Південної Кореї.
«Хакери зазвичай мають сильне бажання похизуватися», – сказав експерт із безпеки Yonhap, припустивши, що зловмисники могли навмисно обрати 27 листопада, щоб максимізувати увагу під час гучного оголошення про злиття. Ця дата також стала шостою річницею зламу Upbit 2019 року – до дня.
Також читайте: U.S. Senate Schedules Dec. 8 Session On Bill That Would Clarify Crypto Regulatory Authority
Чому це важливо
Злам Upbit став черговим епізодом у рекордному за обсягами втрат році для безпеки криптовалют. Збитки від атак і експлойтів у 2025 році перевищили $2,4 млрд, причому основну частку становив масштабний злам біржі Bybit на $1,5 млрд у лютому. Атаку на Bybit, найбільшу в історії криптоіндустрії, також приписують угрупованню Lazarus з Північної Кореї.
За даними блокчейн-компанії з безпеки CertiK, у першій половині 2025 року втрати від хакерських атак, шахрайства та експлойтів становили $2,47 млрд, що майже на 3% більше, ніж $2,4 млрд, викрадених за весь 2024 рік. Компрометація гаманців стала найдорожчим типом атак, принісши понад $1,7 млрд збитків у 34 інцидентах. Фішингові атаки становили найбільшу кількість інцидентів безпеки – 132 випадки та $410 млн втрат.
Угруповання Lazarus неодноразово змінювало тактику, переходячи від прямих атак на біржі до атак на ланцюги постачання та компрометації середовищ розробників. Група розгортає власні сімейства шкідливого ПЗ, застосовує соціальну інженерію та масштабну інфраструктуру відмивання, пропускаючи вкрадену криптовалюту через міксери й мости в різних блокчейнах. Експерти з безпеки відзначають, що Північна Корея, стикаючись із нестачею іноземної валюти, використовує викрадену криптовалюту для фінансування діяльності режиму.
Під час атаки на Upbit у 2019 році слідчі дійшли висновку, що понад половину викраденого ETH було відмито через біржові акаунти, створені за підробленими особами, із застосуванням типових для Lazarus методів – багаторазового «стрибання» між гаманцями та міксування. Раніше група вже націлювалася на криптоплатформи, щоб максимізувати вплив і публічний резонанс, що вказує на свідоме обрання моменту атак для використання підвищеної уваги суспільства.
«Їхній стандартний підхід – розпорошувати токени по різних мережах, щоб ускладнити відстеження», – зазначив представник служби безпеки. Постачальник блокчейн-аналітики Dethective повідомив, що гаманці, пов’язані з підозрюваним хакером, уже почали рухати кошти, що свідчить про початок процесу відмивання.
Інцидент з Upbit також підкреслює стійкі вразливості інфраструктури гарячих гаманців, які залишаються підключеними для операційних потреб. Попри те, що холодні гаманці, де зберігається більшість активів біржі, залишилися в безпеці, гарячі гаманці – через обробку активної торгівлі й виведень – і далі є привабливою ціллю для висококваліфікованих зловмисників. Навіть давні платформи, які пройшли численні аудити безпеки, не убезпечені повністю, про що свідчить злам протоколу Balancer на $128 млн у листопаді, що демонструє широту поточної загрози.
Здатність Upbit повністю компенсувати клієнтам втрати з операційних резервів частково заспокоює користувачів, однак інцидент завдає біржі та Dunamu значного прямого фінансового удару в момент, коли компанія проходить інтеграцію з Naver Financial. Злиття позиціонували як стратегічний крок для інвестування 10 трлн вон упродовж п’яти років у розвиток інфраструктури ШІ та Web3 у Південній Кореї. Злам, що стався за кілька годин після оголошення про угоду, створює незручний фон для новоствореної структури.
Органи влади продовжують відстежувати вкрадені активи за допомогою блокчейн-аналізу та проводять форензичну перевірку інфраструктури безпеки Upbit. Біржа поки що не оголосила строки відновлення депозитів і виведення коштів, хоча аудити безпеки після інцидентів подібного масштабу зазвичай тривають кілька днів або й довше – залежно від висновків.
Читайте також: BAT Leads Social Tokens Rally With 100% Surge After Brave Browser Reached 101 Million Users