韓國加密貨幣市場不僅是全球最瘋狂的散戶賭場,更是北韓駭客最順手的「提款機」。八年來累計損失約 2 億美元,且背後還藏著地緣政治的悲劇投影。
(前情提要:安全公司:北韓駭客已滲透 15~20% 加密貨幣企業 )
(背景補充:韓國交易所 Upbit 遭駭 3,040 萬美元!剛被 Naver 收購的母公司 Dunamu 全額理賠 )
市場反彈了,但交易所又被盜了。
11 月 27 日,南韓(韓國)最大的加密貨幣交易所 Upbit 確認發生安全漏洞,導致價值約 540 億韓元(約 3,680 萬美元)的資產流失。
首爾時間 11 月 27 日凌晨 04:42(KST),當大多數南韓交易員還在沉睡時,Upbit 的 Solana 熱錢包地址出現了異常的大規模資金流出。
據慢霧等安全機構的鏈上監測數據,攻擊者並未採取單一資產轉移的方式,而是對 Upbit 在 Solana 鏈上的資產進行了「清空式」掠奪。
被盜資產不僅包含核心代幣 SOL 和穩定幣 USDC,還覆蓋了 Solana 生態內幾乎所有主流的 SPL 標準代幣。
被盜資產清單(部分):
- DeFi/ 基礎設施類:JUP (Jupiter)、RAY (Raydium)、PYTH (Pyth Network)、JTO (Jito)、RENDER、IO 等。
- Meme/ 社群類:BONK、WIF、MOODENG、PENGU、MEW、TRUMP 等。
- 其他專案:ACS、DRIFT、ZETA、SONIC 等。
這種一鍋端的特徵表明,攻擊者極有可能獲取了 Upbit 負責 Solana 生態熱錢包的私鑰權限,或者是簽名伺服器(Signing Server)遭到了直接控制,導致其能夠對該錢包下的所有 SPL 代幣進行授權轉移。
對於 Upbit 這家占據南韓 80% 市場份額、以擁有南韓網路振興院(KISA)最高安全等級認證為傲的巨頭來說,這無疑是一次慘痛的「破防」。
不過,這也不是南韓交易所第一次被盜了。
如果將時間軸拉長,我們會發現南韓加密市場在過去八年裡,實際上一直在被駭客,尤其是北韓駭客光顧。
南韓加密市場,不僅是全球最瘋狂的散戶賭場,也是北韓駭客最順手的「提款機」。
八年南北韓攻防,被盜編年史
從早期的暴力破解到後來的社會工程學滲透,攻擊手段不斷進化,南韓交易所的受難史也隨之延長。
累計損失:約 2 億美元(按被盜時價格;若按當前價格計算超過 12 億美元,其中僅 2019 年 Upbit 被盜的 34.2 萬枚 ETH 現值已超 10 億美元)
2017:蠻荒時代,駭客從員工電腦下手
2017 年是加密牛市的起點,也是南韓交易所噩夢的開始。
這一年,南韓最大的交易所 Bithumb 率先「中招」。6 月,駭客入侵了一名 Bithumb 員工的個人電腦,竊取了約 31,000 名用戶的個人資訊,隨後利用這些數據對用戶發起定向釣魚攻擊,卷走約 3,200 萬美元。事後調查發現,員工電腦上儲存著未加密的客戶數據,公司甚至沒有安裝基本的安全更新軟體。
這暴露了當時南韓交易所安全管理的草台狀態,連「不要在私人電腦存客戶數據」這種常識都沒有建立。
更具標誌性意義的是中型交易所 Youbit 的覆滅。這家交易所在一年內遭受了兩次毀滅性打擊:4 月份丟失近 4,000 枚比特幣(約 500 萬美元),12 月再次被盜走 17% 的資產。不堪重負的 Youbit 宣布破產,用戶只能先提取 75% 的餘額,剩餘部分需等待漫長的破產清算。
Youbit 事件後,南韓網路安全局(KISA)首次公開指控北韓是幕後黑手。這也向市場發出了一個信號:
交易所面對的不再是普通網路竊賊,而是有著地緣政治目的的國家級駭客組織。
2018:熱錢包大劫案
2018 年 6 月,南韓市場經歷了連續重創。
6 月 10 日,中型交易所 Coinrail 遭遇襲擊,損失超過 4,000 萬美元。與此前不同,這次駭客主要掠奪的是當時火熱的 ICO 代幣(如 Pundi X 的 NPXS),而非比特幣或以太坊。消息傳出後,比特幣價格短時暴跌超過 10%,整個加密市場在兩天內蒸發超過 400 億美元市值。
僅僅十天後,南韓頭部交易所 Bithumb 也宣告失守,熱錢包被盜走約 3,100 萬美元的 XRP 等代幣。諷刺的是,攻擊發生前幾天,Bithumb 剛在推特上宣布正在「將資產轉移至冷錢包以升級安全系統」。
這是 Bithumb 一年半內第三次被駭客「光顧」。
「連環爆雷」嚴重打擊了市場信心。事後,南韓科技部對國內 21 家交易所進行安全審查,結果顯示只有 7 家通過全部 85 項檢查,剩餘 14 家「隨時可能暴露於駭客攻擊風險中」,其中 12 家在冷錢包管理方面存在嚴重漏洞。
2019:Upbit 的 342,000 枚 ETH 被盜
2019 年 11 月 27 日,南韓最大交易所 Upbit 遭遇了當時國內史上最大規模的單筆盜竊。
駭客利用交易所整理錢包的間隙,單筆轉走了 342,000 枚 ETH。他們沒有立即砸盤,而是透過「剝離鏈」(Peel Chain)技術,將資金拆解成無數筆小額交易,層層轉移,最終流入數十家非 KYC 交易所和混幣器。
調查顯示,57% 的被盜 ETH 以低於市場價 2.5% 的折扣在疑似北韓營運的交易所兌換成比特幣,剩餘 43% 透過 13 個國家的 51 家交易所洗白。
直到五年後的 2024 年 11 月,南韓警方才正式確認該案係北韓駭客組織 Lazarus Group 和 Andariel 所為。調查人員透過 IP 追蹤、資金流向分析,以及攻擊代碼中出現的北韓特有詞彙「흘한 일」(意為「不重要」)鎖定了攻擊者身份。
南韓當局與美國 FBI 合作追蹤資產,歷經四年司法程序,最終從瑞士一家交易所追回 4.8 枚比特幣(約 6 億韓元),並於 2024 年 10 月歸還 Upbit。
不過相比被盜總額,這點追回幾乎可以忽略不計。
2023:GDAC 事件
2023 年 4 月 9 日,中型交易所 GDAC 遭遇攻擊,損失約 1,300 萬美元——占其託管總資產的 23%。
被盜資產包括約 61 枚 BTC、350 枚 ETH、1,000 萬枚 WEMIX 代幣和 22 萬 USDT。駭客控制了 GDAC 的熱錢包,並迅速將部分資金透過 Tornado Cash 混幣器洗白。
2025:六年後的同一天,Upbit 再次淪陷
六年前的同一天(11 月 27 日),Upbit 曾損失 342,000 枚 ETH。
歷史再次重演。凌晨 4:42,Upbit 的 Solana 熱錢包出現異常資金流出,約 540 億韓元(3,680 萬美元)的資產被轉移至未知地址。
2019 年 Upbit 事件之後,2020 年南韓正式實施《特定金融資訊法》(特金法),要求所有交易所取得 ISMS(資訊安全管理體系)認證並在銀行開設實名帳戶。大量無法達標的小型交易所被迫退出市場,行業格局從「百所混戰」收縮為少數幾家巨頭主導。Upbit 憑藉 Kakao 系的資源背書和認證的通過,市場份額一度超過 80%。
但六年的合規建設,並沒有讓 Upbit 逃過這一劫。
截至發稿,Upbit 已宣布將用自有資產全額賠付用戶損失,但關於攻擊者身份和具體攻擊路徑,官方尚未公布詳細資訊。
泡菜溢價、國家級駭客與核武器
南韓交易所頻頻被盜並非單純的技術無能,而是地緣政治的悲劇投影。
在一個高度中心化、流動性溢價極高且地理位置特殊的市場,南韓交易所實際上是在用一家商業公司的安防預算,去對抗一個擁有核威懾訴求的國家級駭客部隊。
這支部隊有個名字:Lazarus Group。
Lazarus 隸屬於北韓偵察總局(RGB),是平壤最精銳的網路戰力量之一。
在轉向加密貨幣之前,他們已經在傳統金融領域證明了自己的實力。
2014 年攻破索尼影業,2016 年從孟加拉央行盜走 8,100 萬美元,2017 年策劃了波及 150 個國家的 WannaCry 勒索病毒。
2017 年起,Lazarus 將目標轉向加密貨幣領域。原因很簡單:
相比傳統銀行,加密貨幣交易所監管更鬆、安全標準參差不齊,而且一旦得手,資金可以透過鏈上轉移迅速跨境,繞開國際制裁體系。
而南韓,恰好是最理想的獵場。
第一,南韓是地緣對抗的天然目標。對北韓而言,攻擊南韓企業不僅能獲取資金,還能在「敵國」製造混亂,一舉兩得。
第二,泡菜溢價背後是肥美的資金池。南韓散戶對加密貨幣的狂熱舉世聞名,而溢價的本質是供不應求,大量韓元湧入,追逐有限的加密資產。
這意味著南韓交易所的熱錢包裡,長期躺著遠超其他市場的流動性。對駭客來說,這就是一座金礦。
第三,語言有優勢。Lazarus 的攻擊並非只靠技術暴力破解。他們擅長社會工程學,比如偽造招聘資訊、發送釣魚郵件、冒充客服套取驗證碼。
南北韓同文同種,語言障礙為零,這讓針對南韓員工和用戶的定向釣魚攻擊成功率大幅提升。
被盜的錢去哪了?這可能才是故事最有看點的部分。
根據聯合國報告和多家區塊鏈分析公司的追蹤,Lazarus 竊取的加密貨幣最終流向了北韓的核武器和彈道飛彈計畫。
此前,路透社援引一份聯合國機密報告稱,北韓使用被盜的加密貨幣資金來幫助資助其導彈開發計畫。
2023 年 5 月,白宮副國家安全顧問 Anne Neuberger 公開表示,北韓導彈計畫約 50% 的資金來自網路攻擊和加密貨幣盜竊;這一比例相比她 2022 年 7 月給出的「約三分之一」進一步上升。
換句話說,每一次南韓交易所被盜,都可能在間接為三八線對面的核彈頭添磚加瓦。
同時,洗錢路徑已經相當成熟:被盜資產先透過「剝離鏈」技術拆分成無數小額交易,再經由混幣器(如 Tornado Cash、Sinbad)混淆來源,然後透過北韓自建的交易所以折扣價兌換成比特幣,最後透過中俄的地下渠道兌換成法幣。
2019 年 Upbit 被盜的 34.2 萬枚 ETH,南韓警方正式公布調查結果顯示:57% 在疑似北韓營運的三家交易所以低於市場價 2.5% 的價格兌換成比特幣,剩餘 43% 透過 13 個國家的 51 家交易所洗白。整個過程歷時數年,至今絕大部分資金仍未追回。
這或許是南韓交易所面臨的根本困境:
一邊是 Lazarus,一支擁有國家資源支持、可以 24 小時輪班作業、不計成本投入的駭客部隊;另一邊是 Upbit、Bithumb 這樣的商業公司。
即便是通過審查的頭部交易所,在面對國家級高持續性威脅攻擊時,依然力不從心。
不只是南韓的問題
八年、十餘起攻擊、約 2 億美元損失,如果只把這當作南韓加密行業的本地新聞,就錯過了更大的圖景。
南韓交易所的遭遇,是加密行業與國家級對手博弈的預演。
北韓是最顯眼的玩家,但不是唯一的玩家。俄羅斯某些高威脅攻擊組織被指與多起 DeFi 攻擊存在關聯,伊朗駭客曾針對以色列加密公司發動攻擊,北韓自己也早已把戰場從南韓擴展到全球,比如 2025 年 Bybit 的 15 億美元、2022 年 Ronin 的 6.25 億美元,受害者遍布各大洲。
加密行業有一個結構性矛盾,即一切必須經過中心化的入口。
無論鏈本身多麼安全,用戶的資產終究要透過交易所、跨鏈橋、熱錢包這些「咽喉要道」流動。
這些節點集中了海量資金,卻由預算有限的商業公司營運;對國家級駭客而言,這是效率極高的狩獵場。
攻防雙方的資源從根本上不對等,Lazarus 可以失敗一百次,交易所只能失敗一次。
泡菜溢價還會繼續吸引全球套利者和本土散戶,Lazarus 不會因為被曝光而停手,南韓交易所與國家級駭客的攻防戰遠未結束。
只是希望下一次被盜的,不是你自己的錢。
📍相關報導📍
AI 項目 Port3 跨鏈橋被攻破:駭客狂印 10 億枚幣拋售,幣價閃崩 80%
