南韓當局正在調查北韓Lazarus駭客集團是否策劃了於該國最大加密貨幣交易所發生、涉及 3,600 萬美元損失的安全事件。此攻擊正好發生在六年前由同一批國家支持組織造成的 Upbit 前一重大漏洞的周年日。
Upbit 在周四偵測到大約 445 億韓元(3,600 萬美元)Solana 資產被從熱錢包未經授權劃轉至不明外部地址後,隨即暫停所有存提服務。
這起安全事件發生在 11 月 27 日當地時間凌晨 4:42,平台緊急啟動應變機制並對所有交易服務進行凍結。
政府與產業消息人士向韓聯社表示,調查人員分析錢包流向與入侵手法後,懷疑攻擊者或許盜取了管理員帳號,抑或偽裝成內部操作人員,這些手法與 2019 年 34.2 萬枚 ETH(5,000 萬美元)遭竊案高度相似,該案後來被追查為 Lazarus 及北韓相關組織 Andariel 所為。
事件經過
這次事件影響了超過 20 種 Solana 生態系代幣,包含 SOL、USDC、BONK、Jupiter、Raydium、Render、Orca 與 Pyth Network。Dunamu(Upbit 營運商)已證實未經授權提款,並承諾用營運儲備金全額賠償客戶。根據南韓加密用戶保護法,該公司截至九月有 670 億韓元的準備金應對駭客攻擊與系統故障。
Dunamu 執行長吳慶錫表示:「我們已精確確認流失的數位資產,會由 Upbit 自有資產全額彌補,確保客戶權益不受影響。」為防止進一步盜領,交易所已將剩餘資產移至冷錢包,並由鑑識團隊展開調查。
Upbit 透過鏈上方式凍結了約 23 億韓元(160 萬美元)的 Solayer 代幣,並正與各代幣發行方合作,持續追蹤並凍結其他可尋蹤資產。據安全人員說明,區塊鏈鑑識公司發現涉案資金在多個錢包間快速流轉,並進行了混幣操作,與過往 Lazarus 洗錢手法一致。
一名政府官員向韓聯社表示:「駭客可能不是攻擊伺服器本身,而是入侵或冒用管理員帳號進行劃轉。」這昭示針對帳號操作的精準滲透,而非直接攻擊 Upbit 架構,也再次呼應過往 Lazarus 作案手法。
科技部、金融服務委員會等監管單位已前往現場檢查 Upbit 系統,重點檢視熱錢包私鑰管理與內部網路安全性。Upbit 表示,將全面檢討數位資產存提款系統,待安全無虞後將依序逐步恢復服務。
區塊鏈安全公司 CertiK 指出,本次提款的速度及規模酷似先前 Lazarus 相關事件,雖尚未掌握決定性的鏈上證據。目前該公司已追蹤超過百個 Solana 嫌疑錢包,仍持續監控流向,嘗試追查是否與 Lazarus 洗錢網路相關。
本案發生時機引發外界對駭客動機猜測。事發同日,韓國網路巨擘 Naver 旗下的 Naver Financial 宣布以 103 億美元收購 Dunamu 全部股權的換股交易,預計使 Dunamu 成為其全資子公司,為南韓加密產業帶來極具分量的企業整併。
一名資安專家向韓聯社分析:「駭客常有強烈展示慾,選在 11 月 27 日出手,可能是有意在高調併購訊息下吸引關注。」這一天同時也是 Upbit 2019 年重大駭案的六週年紀念日。
同場加映:美參議院將於12月8日審議加密監管法案
事件意義
Upbit 遭駭,成為今(2025)年加密資安事件新高峰之一。今年因駭客與漏洞全行業損失已超過 24 億美元,其中二月 Bybit 遭駭就佔一半、損失 15 億美元,該事件同樣被指與北韓 Lazarus 集團有關。Bybit 攻擊為加密史上最大單一損失事件。
區塊鏈安全公司 CertiK 統計,2025 上半年因駭客和釣魚造成的損失達 24.7 億美元,較 2024 年全年 24 億美元再成長近 3%。其中錢包遭竊尤為嚴重,共有 17 億美元在 34 件事件中失竊。釣魚攻擊案則以 132 起位居最多,盜走約 4.1 億美元。
Lazarus 集團不斷變換攻擊手法,從交易所入侵擴展到供應鏈滲透、開發環境滲透等。他們運用自製惡意軟體、社交工程陷阱及龐大洗錢網絡,將竊來的加密資產透過混幣器及跨鏈橋資產轉移。專家指出,北韓面臨外匯短缺,常以加密盜資金作為政權周轉財源。
2019 年 Upbit 案,調查人員推斷,超過一半被竊 ETH 已在假帳號交易所洗錢,採用 Lazarus 常見的錢包跳轉、混幣等操作。該組織過往頻繁鎖定加密平台,以製造最大化衝擊與曝光,顯示此類攻擊有刻意博取社會高度關注的意圖。
一名安全官員指出:「他們常故意將代幣分散於多條鏈,以阻撓追蹤。」區塊鏈分析機構 Dethective 已發現疑似駭客錢包開始轉移資金,表明洗錢過程啟動。
Upbit 案同時揭示熱錢包架構的持續弱點。雖然多數交易所資產存放於相對安全的冷錢包,但應付日常交易的熱錢包連網即成駭客眼中肥羊。即便資安審查嚴謹的平台也難以倖免,去年十一月的 Balancer 外掛協議駭案即造成 1.28 億美元損失,顯示風險仍難盡除。
Upbit 能以自有營運準備金全額賠付客戶,為用戶帶來一定信心。然而本案對交易所及 Dunamu 財務仍造成重大直接衝擊,尤值 Naver Financial 併購整合階段。該合併案原預計五年內投資 10 兆韓元發展 AI 與 Web3 基礎設施,駭案恰逢併購訊息後數小時出現,為新公司揭幕蒙上陰影。
有關當局仍持續追蹤被竊資產流向,並徹查 Upbit 資安架構。Upbit 並未公布何時重啟存提款作業,惟一般此等事件後之安全稽核通常需時數日甚至更久,視偵查進展而定。