韩国调查 Lazarus 集团参与 3000 万美元 Upbit 交易所黑客攻击事件

摘要

• 韩国当局怀疑朝鲜的拉撒路组织策划了11月27日Upbit黑客攻击，窃取了价值3040万美元的加密资产。
• Upbit在检测到其热钱包中未经授权的Solana代币提款后暂停了存款和提款服务，这标志着该交易所六年内第二次重大安全漏洞。
• 2025年的黑客攻击使用了与拉撒路组织2019年Upbit入侵类似的策略，涉及被破解或冒充的管理员凭证，而非直接攻击服务器。
• 黑客攻击发生在Upbit母公司Dunamu宣布与科技巨头Naver合并的同一天，引发了关于时机选择的猜测。
• 区块链数据显示，被盗资金被兑换成USDC并通过混合技术桥接到以太坊，这是拉撒路组织常用的操作手法。

韩国当局正在调查拉撒路组织，认为其很可能是Upbit（韩国最大加密货币交易所）3040万美元黑客攻击事件的幕后黑手。该安全漏洞发生在11月27日，当时交易所检测到基于Solana代币的异常提款活动。

在识别出未经授权的交易后，Upbit立即暂停了所有存款和提款服务。交易所最初报告损失540亿韩元，约合3680万美元，但后来将这一数字修正为445亿韩元，即3040万美元。

这标志着Upbit六年内第二次重大热钱包安全漏洞。该交易所此前在2019年11月遭受黑客攻击，攻击者窃取了342,000个ETH。

韩国警方去年得出结论，拉撒路组织应对2019年的盗窃事件负责。两次攻击之间的相似性引发了对最新安全漏洞的怀疑。

攻击方法反映2019年入侵手法

据韩联社引述政府官员的说法，黑客可能破解了管理员账户或冒充管理员来授权转账。这种方法反映了2019年攻击中使用的策略，而不是直接针对交易所的服务器。

韩国当局正在准备对Upbit进行现场检查，因为他们越来越确信拉撒路组织策划了这次盗窃。安全专家指出，朝鲜面临持续的外汇短缺，这为攻击提供了潜在动机。

区块链分析提供商Dethective在入侵后追踪了被盗资金。数据显示，与黑客相关的钱包将Solana代币兑换成USDC，并开始将资金桥接到以太坊。

攻击者使用混合技术来洗钱被盗资产。这些方法是拉撒路组织在之前加密货币盗窃中使用的已知策略。

时机引发质疑

黑客攻击发生在Naver Financial确认与Upbit母公司Dunamu合并的同一天。Naver Financial于11月27日宣布将Dunamu整合为其全资子公司。

该公司表示，合并旨在基于数字资产确保未来增长势头。黑客攻击与这一重大企业公告同时发生的时机引发了关于是否是蓄意行为的猜测。

一位安全专家告诉韩联社，黑客经常寻求展示他们的能力。该专家暗示，攻击者可能特意选择11月27日，以与合并公告同时发生。

拉撒路组织多年来一直与多起高调的加密货币盗窃案有关。该组织在朝鲜的指导下运作，并针对全球交易所以为该政权创造收入。

Upbit尚未提供有关入侵或其调查的更多细节。该交易所继续与当局合作追踪被盗资金并防止进一步损失。

文章《韩国调查拉撒路组织参与3000万美元Upbit交易所黑客攻击》首次发表于CoinCentral。