市場反彈了,但交易平台又被偷了。
11 月27 日,韓國最大的加密貨幣交易平台Upbit 確認發生安全漏洞,導致價值約540 億韓元(約3,680 萬美元)的資產流失。
首爾時間11 月27 日凌晨04:42(KST),當大多數韓國交易員還在沉睡時,Upbit 的Solana 熱錢包地址出現了異常的大規模資金流出。
根據慢霧等安全機構的鏈上監測數據,攻擊者並未採取單一資產轉移的方式,而是對Upbit 在Solana 鏈上的資產進行了「清空式」掠奪。
被盜資產不僅包含核心代幣SOL和穩定幣USDC ,還涵蓋了Solana 生態內幾乎所有主流的SPL 標準代幣。
被盜資產清單(部分):
· DeFi/基礎設施類:JUP (Jupiter), RAY (Raydium), PYTH (Pyth Network), JTO (Jito), RENDER, IO 等。
· Meme/社區類:BONK, WIF, MOODENG, PENGU, MEW, TRUMP 等。
· 其他項目:ACS, DRIFT, ZETA, SONIC 等。
這種一鍋端的特徵表明,攻擊者極有可能獲取了Upbit 負責Solana 生態熱錢包的私鑰權限,或者是簽名伺服器(Signing Server)遭到了直接控制,導致其能夠對該錢包下的所有SPL 代幣進行授權轉移。
對於Upbit 這家佔據韓國80% 市場份額、以擁有韓國互聯網振興院(KISA)最高安全等級認證為傲的巨頭來說,這無疑是一次慘痛的「破防」。
不過,這也不是韓國交易平台第一次被偷了。
如果將時間軸拉長,我們會發現韓國加密市場在過去八年裡,實際上一直被駭客,尤其是北韓駭客光顧。
韓國加密市場,不僅是全球最瘋狂的散戶賭場,也是北韓駭客最順手的「提款機」。
八年朝韓攻防,被竊編年史從早期的暴力破解到後來的社會工程滲透,攻擊手段不斷進化,韓國交易平台的受難史也隨之延長。
累計損失:約2 億美元(以被竊時價格;若以目前價格計算超過12 億美元,其中僅2019 年Upbit 被竊的34.2 萬枚ETH 現值已超10 億美元)
· 2017:蠻荒時代,駭客從員工電腦下手2017 年是加密多頭市場的起點,也是韓國交易平台惡夢的開始。
這一年,韓國最大的交易平台Bithumb 率先「中招」。 6 月,駭客入侵了一名Bithumb 員工的個人電腦,竊取了約31,000 名用戶的個人信息,隨後利用這些數據對用戶發起定向釣魚攻擊,捲走約3200 萬美元。事後調查發現,員工電腦上儲存未加密的客戶數據,公司甚至沒有安裝基本的安全性更新軟體。
這暴露了當時韓國交易平台安全管理的草台狀態,連「不要在私人電腦存客戶資料」這種常識都沒有建立。
更具標誌性意義的是中型交易平台Youbit 的覆滅。這家交易平台在一年內遭受了兩次毀滅性打擊:4 月失去近4000 枚比特幣(約500 萬美元),12 月再次被盜走17% 的資產。不堪負荷的Youbit 宣布破產,用戶只能先提領75% 的餘額,剩餘部分需等待漫長的破產清算。
Youbit 事件後,南韓網路安全局(KISA)首次公開指控北韓是幕後黑手。這也向市場發出了一個訊號:
交易平檯面對的不再是普通網路竊賊,而是有著地緣政治目的的國家級駭客組織。
2018 年6 月,韓國市場經歷了連續重創。
6 月10 日,中型交易平台Coinrail 遭遇攻擊,損失超過4,000 萬美元。與先前不同,這次駭客主要掠奪的是當時火熱的ICO 代幣(如Pundi X 的NPXS),而非比特幣或以太坊。消息傳出後,比特幣價格短暫暴跌超過10%,整個加密市場在兩天內蒸發超過400 億美元市值。
僅僅十天后,韓國頭部交易平台Bithumb 也宣告失守,熱錢包被偷走約3,100 萬美元的XRP 等代幣。諷刺的是,攻擊發生前幾天,Bithumb 剛在推特上宣布正在「將資產轉移至冷錢包以升級安全系統」。
這是Bithumb 一年半內第三次被駭客「光顧」。
「連環爆雷」嚴重打擊了市場信心。事後,韓國科技部對國內21 家交易平台進行安全審查,結果顯示只有7 家通過全部85 項檢查,剩餘14 家「隨時可能暴露於駭客攻擊風險中」,其中12 家在冷錢包管理方面存在嚴重漏洞。
· 2019:Upbit 的342,000 枚ETH 被盜2019 年11 月27 日,韓國最大交易平台Upbit 遭遇了當時國內史上最大規模的單筆竊案。
駭客利用交易平台整理錢包的間隙,單筆轉走了342,000 枚ETH。他們沒有立即砸盤,而是透過「剝離鏈」(Peel Chain)技術,將資金拆解成無數筆小額交易,層層轉移,最終流入數十家非KYC 交易平台和混幣器。
調查顯示,57% 的被盜ETH 以低於市價2.5% 的折扣在疑似北韓營運的交易平台兌換成比特幣,剩餘43% 透過13 個國家的51 家交易平台洗白。
直到五年後的2024 年11 月,韓國警方才正式確認該案系北韓駭客組織Lazarus Group 和Andariel 所為。調查人員透過IP 追蹤、資金流向分析,以及攻擊代碼中出現的北韓特有詞彙「흘한일」(意為「不重要」)鎖定了攻擊者身分。
韓國當局與美國FBI 合作追蹤資產,歷經四年司法程序,最後從瑞士一家交易平台追回4.8 枚比特幣(約6 億韓元),並於2024 年10 月歸還Upbit。
不過比起被盜總額,這點追回幾乎可以忽略不計。
· 2023:GDAC 事件2023 年4 月9 日,中型交易平台GDAC 遭遇攻擊,損失約1,300 萬美元—佔其託管總資產的23%。
被竊資產包括約61 枚BTC、350 枚ETH、1,000 萬枚WEMIX 代幣和22 萬USDT。駭客控制了GDAC 的熱錢包,並迅速將部分資金透過Tornado Cash 混幣器洗白。
· 2025:六年後的同一天,Upbit 再次淪陷六年前的同一天(11 月27 日),Upbit 曾損失342,000 枚ETH。
歷史再次重演。凌晨4:42,Upbit 的Solana 熱錢包出現異常資金流出,約540 億韓元(3,680 萬美元)的資產轉移至未知地址。
2019 年Upbit 事件之後,2020 年韓國正式實施《特定金融資訊法》(特金法),要求所有交易平台取得ISMS(資訊安全管理系統)認證並在銀行開設實名帳戶。大量無法達標的小型交易平台被迫退出市場,產業格局從「百所混戰」收縮為少數幾家巨頭主導。 Upbit 憑藉Kakao 系的資源背書和認證的通過,市佔率一度超過80%。
但六年的合規建設,並沒有讓Upbit 逃過這一劫。
截至發稿,Upbit 已宣布將以自有資產全額賠付用戶損失,但關於攻擊者身分和具體攻擊路徑,官方尚未公佈詳細資訊。
泡菜溢價、國家級駭客與核武器韓國交易平台頻頻被盜並非單純的技術無能,而是地緣政治的悲劇投影。
在一個高度中心化、流動性溢價極高且地理位置特殊的市場,韓國交易平台實際上是在用一家商業公司的安防預算,去對抗一個擁有核威懾訴求的國家級黑客部隊。
這支部隊有個名字: Lazarus Group 。
Lazarus 隸屬於北韓偵察總局(RGB),是平壤最精銳的網路戰力量之一。
在轉向加密貨幣之前,他們已經在傳統金融領域證明了自己的實力。
2014 年攻破索尼影業,2016 年從孟加拉央行盜走8,100 萬美元,2017 年策劃了波及150 個國家的WannaCry 勒索病毒。
2017 年起,Lazarus 將目標轉向加密貨幣領域。原因很簡單:
相較於傳統銀行,加密貨幣交易平台監管更鬆、安全標準參差不齊,一旦得手,資金可以透過鏈上轉移迅速跨境,繞過國際制裁體系。
而韓國,恰好是最理想的獵場。
第一,韓國是地緣對抗的天然目標。對北韓而言,攻擊南韓企業不僅能取得資金,還能在「敵國」製造混亂,一舉兩得。
第二,泡菜溢價背後是肥美的資金池。韓國散戶對加密貨幣的狂熱舉世聞名,溢價的本質是供不應求,大量韓元湧入,追逐有限的加密資產。
這意味著韓國交易平台的熱錢包裡,長期躺著遠超過其他市場的流動性。對駭客來說,這就是一座金礦。
第三,語言有優勢。 Lazarus 的攻擊並非只靠技術暴力破解。他們擅長社會工程學,例如偽造招募資訊、發送釣魚郵件、冒充客服套取驗證碼。
朝韓同文同種,語言障礙為零,讓針對韓國員工和使用者的定向釣魚攻擊成功率大幅提升。
被偷的錢去哪了?這可能才是故事最有看點的部分。
根據聯合國報告和多家區塊鏈分析公司的追踪,Lazarus 竊取的加密貨幣最終流向了北韓的核武和彈道飛彈計劃。
此前,路透社引述一份聯合國機密報告稱,北韓使用被盜的加密貨幣資金來幫助資助其飛彈開發計畫。
2023 年5 月,白宮副國家安全顧問Anne Neuberger 公開表示,北韓飛彈計畫約50% 的資金來自網路攻擊和加密貨幣竊盜;這一比例相比她2022 年7 月給出的「約三分之一」進一步上升。
換句話說,每一次韓國交易平台被盜,都可能在間接為三八線對面的核彈頭添磚加瓦。
同時,洗錢路徑已經相當成熟:被盜資產先透過「剝離鏈」技術拆分成無數小額交易,再經由混幣器(如Tornado Cash、Sinbad)混淆來源,然後透過北韓自建的交易平台以折扣價兌換成比特幣,最後透過中俄的地下管道兌換成法幣。
2019 年Upbit 被竊的34.2 萬枚ETH,韓國警方正式公佈調查結果顯示: 57% 在疑似北韓營運的三家交易平台以低於市價2.5% 的價格兌換成比特幣,剩餘43% 透過13 個國家的51 家交易平台洗白。整個過程歷時數年,至今絕大部分資金仍未追回。
這或許是韓國交易平檯面臨的根本困境:
一邊是Lazarus,一支擁有國家資源支援、可以24 小時輪班作業、不計成本投入的駭客部隊;另一邊是Upbit、Bithumb 這樣的商業公司。
即便是透過審查的頭部交易平台,在面對國家級高持續性威脅攻擊時,依然力不從心。
不只是韓國的問題八年、十餘起攻擊、約2 億美元損失,如果只把這當作韓國加密產業的本地新聞,就錯過了更大的圖景。
韓國交易平台的遭遇,是加密產業與國家級對手賽局的預演。
北韓是最顯眼的玩家,但不是唯一的玩家。俄羅斯某些高威脅攻擊組織被指控與多起DeFi 攻擊有關聯,伊朗駭客曾針對以色列加密公司發動攻擊,北韓自己也早已把戰場從南韓擴展到全球,例如2025 年Bybit 的15 億美元、2022 年Ronin 的6.25 億美元,受害者遍布各大洲。
加密產業有一個結構性矛盾,即一切必須經過中心化的入口。
無論鏈本身多麼安全,用戶的資產終究要透過交易平台、跨鏈橋、熱錢包這些「咽喉要道」流動。
這些節點集中了大量資金,卻由預算有限的商業公司營運;對國家級駭客而言,這是一個效率極高的狩獵場。
攻防雙方的資源從根本上不對等,Lazarus 可以失敗一百次,交易平台只能失敗一次。
泡菜溢價還會繼續吸引全球套利者和本土散戶,Lazarus 不會因為被曝光而停手,韓國交易平台與國家級黑客的攻防戰遠未結束。
只是希望下一次被偷的,不是你自己的錢。
