韩国当局正在调查朝鲜黑客组织 Lazarus(拉撒路) 是否策划了针对该国最大加密货币交易所的一起 3600 万美元攻击。此次攻击发生的时间,恰好是该平台先前一次被归因于同一国家支持黑客的重大安全事件整整六年之后。
Upbit 于周四暂停了所有充币和提币业务,此前其检测到约 445 亿韩元(3600 万美元)索拉纳(Solana)相关资产从一个热钱包被未经授权地转出至未知外部地址。
这起安全事件发生在 11 月 27 日凌晨 4 点 42 分(当地时间),随即触发紧急响应程序,并对平台上的全部交易服务实施了冻结。
政府及业界消息人士向韩联社表示,调查人员通过分析钱包资金流向和入侵路径,目前怀疑攻击者要么攻破了管理员账户,要么成功伪装成内部操作人员——这一手法与 2019 年那起 34.2 万枚 ETH(当时价值 5000 万美元)被盗事件高度相似,该事件后来被追踪至拉撒路及其相关的朝鲜黑客组织 Andariel。
事件详情
本次攻击波及 20 多种 Solana 生态代币,包括 SOL、USDC、BONK、Jupiter、Raydium、Render、Orca 和 Pyth Network 等。Upbit 运营方 Dunamu 确认发生了未授权提币,并承诺将动用交易所的运营储备金向客户全额赔付。根据韩国加密用户保护法,该公司截至 9 月已为黑客攻击或系统故障预留 670 亿韩元储备金。
Dunamu 首席执行官 吴京锡(Oh Kyung-seok) 在声明中表示:“我们已经精确掌握泄露的数字资产数额,将完全使用 Upbit 自有资产弥补损失,确保客户不受任何影响。”为防止进一步提币,交易所已将剩余资产转移至冷钱包,同时取证团队展开调查。
Upbit 通过链上措施冻结了约 23 亿韩元(160 万美元)的 Solayer 代币,并正与各代币发行方合作,冻结更多可追踪资产。区块链取证公司发现,攻击资金在多个钱包间快速转移并进行混币操作,其模式与以往拉撒路的洗钱手法高度一致,据安全官员称。
一位政府官员对韩联社表示:“与其说是攻击服务器,不如说很可能是黑客劫持了管理员账户,或者冒充管理员发起转账。”这种方式更像是有针对性的账户操控,而非对 Upbit 基础设施的直接攻击,进一步强化了与既往拉撒路行动的相似性。
韩国科学技术信息通信部、金融委员会以及其他监管机构已对 Upbit 系统开展现场检查,重点关注热钱包密钥管理和内部网络安全。交易所表示,正在对其整个数字资产充提系统进行全面审查,并将在安全性得到确认后分阶段恢复服务。
区块链安全公司 CertiK 指出,本次提现的速度和规模与过去拉撒路相关攻击相似,但目前尚未获得确凿的链上证据。该公司已追踪 Solana 上 100 多个攻击者地址的资金流向,并持续监控,以寻找与拉撒路洗钱网络之间的关联。
此次攻击的时间点也引发了外界对黑客动机的猜测。安全事件发生当天,韩国互联网巨头 Naver 旗下子公司 Naver Financial 宣布以 103 亿美元的换股交易收购 Dunamu 全部股权。该并购将使 Dunamu 成为其全资子公司,并被视为韩国加密行业史上最重要的企业重组之一。
一位安全专家对韩联社表示:“黑客往往有强烈的炫耀欲望。”他认为,攻击者可能是有意选择 11 月 27 日,以在这起高调并购宣布期间最大化曝光度。同一天也正好是 Upbit 2019 年被黑事件的六周年纪念日。
相关阅读: U.S. Senate Schedules Dec. 8 Session On Bill That Would Clarify Crypto Regulatory Authority
影响几何
Upbit 此次被黑,是今年创纪录的加密安全事件中的最新一例。2025 年,黑客攻击与漏洞利用造成的损失已超过 24 亿美元,其中今年 2 月的 Bybit 交易所 15 亿美元巨额被黑占据主要份额。这起Bybit攻击——迄今加密史上规模最大的一次——同样被归因于朝鲜拉撒路组织。
据区块链安全公司 CertiK 统计,2025 年上半年,黑客攻击、诈骗和漏洞利用造成的损失达 24.7 亿美元,较 2024 年全年 24 亿美元的被盗金额增加近 3%。其中,钱包被攻陷成为代价最高的攻击向量,在 34 起事件中共造成超 17 亿美元损失。网络钓鱼攻击则在事件数量上居首,发生 132 起,涉案金额达 4.1 亿美元。
拉撒路组织多次更换作案手法,从交易所入侵扩展到供应链攻击以及开发环境渗透。该组织部署定制恶意软件集群,利用社会工程诱骗,并构建庞大的洗钱基础设施,通过不同公链间的混币器与跨链桥转移赃款。安全专家指出,在外汇短缺的背景下,朝鲜利用被盗加密资产为政权活动提供资金。
在 2019 年 Upbit 攻击中,调查人员认定,超过一半被盗 ETH 经由使用假身份开设的交易所账户完成洗钱,过程中大量使用拉撒路惯用的多钱包“跳转”和混币技术。该组织曾多次将加密平台作为主要目标,以放大冲击和曝光度,表明其攻击可能刻意选在公众关注度最高的窗口期。
一位安全官员表示:“他们的标准做法,就是把代币分散到多条网络,以切断追踪。”区块链分析机构 Dethective 报告称,与疑似黑客相关的钱包已开始转移资金,显示洗钱流程已经启动。
Upbit 遭遇的这起漏洞也凸显了热钱包基础设施的持续脆弱性。尽管存放大部分交易所资产的冷钱包保持安全,但承担活跃交易和提币功能的热钱包由于需保持在线,始终是高水平攻击者的重点目标。即便是通过多轮安全审计的老牌平台也难以幸免,2025 年 11 月发生的 1.28 亿美元 Balancer 协议攻击就显示了威胁版图之广。
Upbit 能够从运营储备中向客户全额赔付,在一定程度上安抚了市场情绪,但此次事件仍给交易所及其母公司 Dunamu 带来了重大直接财务打击,恰逢其与 Naver Financial 推进整合之际。该并购原本被定位为未来五年投入 10 万亿韩元,用于在韩国打造 AI 与 Web3 技术基础设施的战略举措。而在收购消息公布数小时后即发生的黑客事件,无疑为这家新组合体蒙上了尴尬阴影。
当局一方面通过区块链分析继续追踪被盗资产,另一方面对 Upbit 的安全基础设施展开取证审查。交易所尚未给出恢复充币和提币服务的具体时间表;从以往经验看,此类规模事件之后的安全审计通常需要数日甚至更久,视调查结果而定。
下篇阅读: BAT Leads Social Tokens Rally With 100% Surge After Brave Browser Reached 101 Million Users