南韓當局現正調查北韓駭客組織 Lazarus 是否策動了當地最大加密貨幣交易所 Upbit 的 3,600 萬美元失竊案。此次攻擊恰巧發生於六年前同一平台被指由該國支持駭客入侵,大案的周年日。
Upbit 於週四偵測到約合 445 億韓元(3,600 萬美元)的 Solana 相關資產被未經授權,從熱錢包轉移至不明外部地址後,隨即中止所有存款及提款操作。
這次失竊於 11 月 27 日凌晨 4:42 發生,緊急啟動平台全面凍結交易服務的應急措施。
據政府及業界消息人士透露,調查人員分析錢包資金流向與入侵手法後,懷疑攻擊者是入侵管理員帳戶或冒充內部操作人員——與 2019 年時 34.2 萬個 ETH 價值 5,000 萬美元大案如出一轍,當時也證實由 Lazarus 及相關北韓組織 Andariel 主導。
事件始末
此次失竊波及超過 20 種 Solana 生態代幣,包括 SOL、USDC、BONK、Jupiter、Raydium、Render、Orca 及 Pyth Network。Upbit 營運方 Dunamu 確認出現未經授權的資金轉移,並承諾將用平台的營運儲備金全額賠償受影響用戶。截至九月,根據南韓加密用戶保護法,該公司備有 670 億韓元用於應對駭客或系統故障。
Dunamu 行政總裁 吳景錫 發表聲明指:「我們已確認被洩漏的數碼資產精確金額,將會全數用 Upbit 自有資產作出賠償,確保客戶無損失。」平台亦已將餘下資產轉至冷錢包,加強安全,凍結進一步提款,由鑑證團隊調查。
Upbit 通過鏈上措施凍結約 23 億韓元(160 萬美元)的 Solayer 代幣,並與代幣發行方協調,繼續凍結可追蹤資產。區塊鏈鑑證公司發現資金被迅速分散至多個錢包並混合,符合過往 Lazarus 洗黑錢的模式。
有官員對 Yonhap 表示:「今次可能不是攻擊伺服器,而是入侵或冒充管理員進行資金轉移。」這種手法屬有針對性的帳戶操作,而非直接衝擊 Upbit 系統,與之前 Lazarus 手法類近。
科學技術情報通信部、金融服務委員會等部門已聯合前往 Upbit 進行現場檢查,重點審查熱錢包金鑰管理及內部網絡安全。平台方表示正全面審視數碼資產充值及提現系統,確認安全後將有序恢復服務。
區塊鏈安全公司 CertiK 指出,這次提款的速度與規模與過往 Lazarus 相關案件非常相似,但尚未掌握確切鏈上證據。CertiK 一直追蹤超過 100 個 Solana 涉案錢包及其資金流動,希望進一步查明與 Lazarus 洗黑錢的關聯。
本案發生時機引發外界猜測攻擊動機。案發當天正值韓國網絡巨企 Naver 子公司 Naver Financial 宣佈斥資 103 億美元全資收購 Dunamu 股權之日。這一合併為南韓加密行業帶來重大變局。同日亦剛好是 Upbit 2019 大劫案六周年整。
有安全專家對 Yonhap 指出,「駭客往往愛搏版面」,認為選擇 11 月 27 日動手,就是想搶佔合併消息的鎂光燈,營造最大宣傳效果。
另見: U.S. Senate Schedules Dec. 8 Session On Bill That Would Clarify Crypto Regulatory Authority
事件重要性
Upbit 今次的熱錢包失竊,反映本年度加密資安事故創下新高。2025 年,黑客與漏洞導致損失超過 24 億美元,以二月的 Bybit 被駭 15 億美元大案最嚴重,這宗個案同樣被歸咎於北韓 Lazarus 集團。
資安公司 CertiK 指,今年上半年因駭客、詐騙及漏洞造成損失 24.7 億美元,較 2024 年全年 24 億已然略高。以錢包遭入侵最為代價高昂,涉 34 宗個案共損失 17 億美元。釣魚攻擊則案數最多,有 132 宗,被盜 4.1 億美元。
Lazarus 集團採用手段多變,從早期攻擊交易所、供應鏈滲透、開發環境滲透等,並配備自家惡意程式、社交工程誘騙、龐大洗錢架構,透過混幣器和跨鏈橋將贓款漂白。專家指出,北韓承受外匯緊張,通過竊取加密貨幣支援政權活動。
回顧 2019 年 Upbit 案,調查顯示被盜 ETH 過半已通過假名帳戶上交易所漂白,手法包括錢包跳躍、資金混合等 Lazarus 慣用慣技。該集團過往多選擇加密平台行兇,為求壯大影響力與曝光率,攻擊或刻意趁高關注度時段進行。
一名資安官員指出:「他們標準做法就是把代幣分散到多條鏈上,以切斷追蹤。」鏈上分析公司 Dethective 發現,疑似黑客的相關錢包已開始資金移動,顯示洗黑錢過程已然啟動。
事件亦凸顯熱錢包作業裝置長期連線帶來的持續風險。即使冷錢包存放交易所大部分資產大致安全,但熱錢包一直是攻擊者的熱門目標。即使是資安審計完善的長青平台,也難逃魔爪,11 月 Balancer 協議失竊 1.28 億美元正反映威脅之廣。
Upbit 能以營運儲備金全額賠償客戶,有助維持信心,惟事件對交易所和 Dunamu 合併 Naver Financial 過程構成實質財務衝擊。該併購原意是未來五年投資十萬億韓元,發展韓國 AI 與 Web3 科技基建;現在黑客於合併消息發佈數小時內動手,令新集團一開始就處於尷尬局面。
當局正持續以區塊鏈分析追蹤被盜資產,同時鑑證 Upbit 安全系統,平台未有交代具體恢復存提款時間表,但如此規模事件的安全審計通常需時數天或更久,視乎發現情況而定。
再看: BAT Leads Social Tokens Rally With 100% Surge After Brave Browser Reached 101 Million Users