泡菜溢價 VS 國家級駭客，Upbit 多次遭竊後的南北韓暗戰

市場反彈了，但交易所又被盜了。

11 月 27 日，韓國最大的加密貨幣交易所 Upbit 確認發生安全漏洞，導致價值約 540 億韓元（約 3680 萬美元）的資產流失。

首爾時間 11 月 27 日凌晨 04:42（KST），當大多數韓國交易員還在沉睡時，Upbit 的 Solana 熱錢包地址出現了異常的大規模資金流出。

據慢霧等安全機構的鏈上監測數據，攻擊者並未採取單一資產轉移的方式，而是對 Upbit 在 Solana 鏈上的資產進行了「清空式」掠奪。

被盜資產不僅包含核心代幣 SOL 和穩定幣 USDC，還覆蓋了 Solana 生態內幾乎所有主流的 SPL 標準代幣。

被盜資產清單（部分）：

• DeFi/基礎設施類：JUP (Jupiter), RAY (Raydium), PYTH (Pyth Network), JTO (Jito), RENDER, IO 等。
• Meme/社區類：BONK, WIF, MOODENG, PENGU, MEW, TRUMP 等。
• 其他項目：ACS, DRIFT, ZETA, SONIC 等。

這種一鍋端的特徵表明，攻擊者極有可能獲取了 Upbit 負責 Solana 生態熱錢包的私鑰權限，或者是簽名服務器（Signing Server）遭到了直接控制，導致其能夠對該錢包下的所有 SPL 代幣進行授權轉移。

對於 Upbit 這家占據韓國 80% 市場份額、以擁有韓國互聯網振興院（KISA）最高安全等級認證為傲的巨頭來說，這無疑是一次慘痛的「破防」。

不過，這也不是韓國交易所第一次被盜了。

如果將時間軸拉長，我們會發現韓國加密市場在過去八年裡，實際上一直在被黑客，尤其是朝鮮黑客光顧。

韓國加密市場，不僅是全球最瘋狂的散戶賭場，也是北朝鮮黑客最順手的「提款機」。

八年朝韓攻防，被盜編年史

從早期的暴力破解到後來的社會工程學滲透，攻擊手段不斷進化，韓國交易所的受難史也隨之延長。

累計損失：約2億美元（按被盜時價格；若按當前價格計算超過12億美元，其中僅2019年Upbit被盜的34.2萬枚ETH現值已超10億美元）

• 2017：蠻荒時代，黑客從員工電腦下手

2017 年是加密牛市的起點，也是韓國交易所噩夢的開始。

這一年，韓國最大的交易所 Bithumb 率先「中招」。6 月，黑客入侵了一名 Bithumb 員工的個人電腦，竊取了約 31,000 名用戶的個人信息，隨後利用這些數據對用戶發起定向釣魚攻擊，捲走約 3200 萬美元。事後調查發現，員工電腦上存儲着未加密的客戶數據，公司甚至沒有安裝基本的安全更新軟件。

這暴露了當時韓國交易所安全管理的草台狀態，連「不要在私人電腦存客戶數據」這種常識都沒有建立。

更具標誌性意義的是中型交易所 Youbit 的覆滅。這家交易所在一年內遭受了兩次毀滅性打擊：4 月份丟失近 4000 枚比特幣（約 500 萬美元），12 月再次被盜走 17% 的資產。不堪重負的 Youbit 宣布破產，用戶只能先提取 75% 的餘額，剩餘部分需等待漫長的破產清算。

Youbit 事件後，韓國互聯網安全局（KISA）首次公開指控朝鮮是幕後黑手。這也向市場發出了一個信號：

交易所面對的不再是普通網絡竊賊，而是有着地緣政治目的的國家級黑客組織。

• 2018：熱錢包大劫案

2018 年 6 月，韓國市場經歷了連續重創。

6 月 10 日，中型交易所 Coinrail 遭遇襲擊，損失超過 4000 萬美元。與此前不同，這次黑客主要掠奪的是當時火熱的 ICO 代幣（如 Pundi X 的 NPXS），而非比特幣或以太坊。消息傳出後，比特幣價格短時暴跌超過 10%，整個加密市場在兩天內蒸發超過 400 億美元市值。

僅僅十天後，韓國頭部交易所 Bithumb 也宣告失守，熱錢包被盜走約 3100 萬美元的 XRP 等代幣。諷刺的是，攻擊發生前幾天，Bithumb 剛在推特上宣布正在「將資產轉移至冷錢包以升級安全系統」。

這是 Bithumb 一年半內第三次被黑客「光顧」。

「連環爆雷」嚴重打擊了市場信心。事後，韓國科技部對國內 21 家交易所進行安全審查，結果顯示只有 7 家通過全部 85 項檢查，剩餘 14 家「隨時可能暴露於黑客攻擊風險中」，其中 12 家在冷錢包管理方面存在嚴重漏洞。

• 2019：Upbit 的 342,000 枚 ETH 被盜

2019 年 11 月 27 日，韓國最大交易所 Upbit 遭遇了當時國內史上最大規模的單筆盜竊。

黑客利用交易所整理錢包的間隙，單筆轉走了 342,000 枚 ETH。他們沒有立即砸盤，而是通過「剝離鏈」（Peel Chain）技術，將資金拆解成無數筆小額交易，層層轉移，最終流入數十家非 KYC 交易所和混幣器。

調查顯示，57% 的被盜 ETH 以低於市場價 2.5% 的折扣在疑似朝鮮運營的交易所兌換成比特幣，剩餘 43% 通過 13 個國家的 51 家交易所洗白。

直到五年後的 2024 年 11 月，韓國警方才正式確認該案系朝鮮黑客組織 Lazarus Group 和 Andariel 所為。調查人員通過 IP 追蹤、資金流向分析，以及攻擊代碼中出現的朝鮮特有詞彙「흘한 일」（意為「不重要」）鎖定了攻擊者身份。

韓國當局與美國 FBI 合作追蹤資產，歷經四年司法程序，最終從瑞士一家交易所追回 4.8 枚比特幣（約 6 億韓元），並於 2024 年 10 月歸還 Upbit。

不過相比被盜總額，這點追回幾乎可以忽略不計。

• 2023：GDAC 事件

2023 年 4 月 9 日，中型交易所 GDAC 遭遇攻擊，損失約 1300 萬美元——占其託管總資產的 23%。

被盜資產包括約 61 枚 BTC、350 枚 ETH、1000 萬枚 WEMIX 代幣和 22 萬 USDT。黑客控制了 GDAC 的熱錢包，並迅速將部分資金通過 Tornado Cash 混幣器洗白。

• 2025：六年後的同一天，Upbit 再次淪陷

六年前的同一天（11月27日），Upbit 曾損失 342,000 枚 ETH。

歷史再次重演。凌晨 4:42，Upbit 的 Solana 熱錢包出現異常資金流出，約 540 億韓元（3680 萬美元）的資產被轉移至未知地址。

2019 年 Upbit 事件之後，2020 年韓國正式實施《特定金融信息法》（特金法），要求所有交易所取得 ISMS（信息安全管理體系）認證並在銀行開設實名賬戶。大量無法達標的小型交易所被迫退出市場，行業格局從「百所混戰」收縮為少數幾家巨頭主導。Upbit 憑藉 Kakao 系的資源背書和認證的通過，市場份額一度超過 80%。

但六年的合規建設，並沒有讓 Upbit 逃過這一劫。

截至發稿，Upbit 已宣布將用自有資產全額賠付用戶損失，但關於攻擊者身份和具體攻擊路徑，官方尚未公布詳細信息。

泡菜溢價 、國家級黑客與核武器

韓國交易所頻頻被盜並非單純的技術無能，而是地緣政治的悲劇投影。

在一個高度中心化、流動性溢價極高且地理位置特殊的市場，韓國交易所實際上是在用一家商業公司的安防預算，去對抗一個擁有核威懾訴求的國家級黑客部隊。

這支部隊有個名字：Lazarus Group。

Lazarus 隸屬於朝鮮偵察總局（RGB），是平壤最精銳的網絡戰力量之一。

在轉向加密貨幣之前，他們已經在傳統金融領域證明了自己的實力。

2014年攻破索尼影業，2016年從孟加拉國央行盜走8100萬美元，2017年策劃了波及150個國家的WannaCry勒索病毒。

2017年起，Lazarus 將目標轉向加密貨幣領域。原因很簡單：

相比傳統銀行，加密貨幣交易所監管更松、安全標準參差不齊，而且一旦得手，資金可以通過鏈上轉移迅速跨境，繞開國際制裁體系。

而韓國，恰好是最理想的獵場。

第一，韓國是地緣對抗的天然目標。對朝鮮而言，攻擊韓國企業不僅能獲取資金，還能在「敵國」製造混亂，一舉兩得。

第二，泡菜溢價背後是肥美的資金池。韓國散戶對加密貨幣的狂熱舉世聞名，而溢價的本質是供不應求，大量韓元湧入，追逐有限的加密資產。

這意味着韓國交易所的熱錢包里，長期躺着遠超其他市場的流動性。對黑客來說，這就是一座金礦。

第三，語言有優勢。Lazarus 的攻擊並非只靠技術暴力破解。他們擅長社會工程學，比如偽造招聘信息、發送釣魚郵件、冒充客服套取驗證碼。

朝韓同文同種，語言障礙為零，這讓針對韓國員工和用戶的定向釣魚攻擊成功率大幅提升。

被盜的錢去哪了？這可能才是故事最有看點的部分。

根據聯合國報告和多家區塊鏈分析公司的追蹤，Lazarus 竊取的加密貨幣最終流向了朝鮮的核武器和彈道導彈計劃。

此前，路透社援引一份聯合國機密報告稱，朝鮮使用被盜的加密貨幣資金來幫助資助其導彈開發計劃。

2023年5月，白宮副國家安全顧問 Anne Neuberger 公開表示，朝鮮導彈計劃約50%的資金來自網絡攻擊和加密貨幣盜竊；這一比例相比她2022年7月給出的「約三分之一」進一步上升。

換句話說，每一次韓國交易所被盜，都可能在間接為三八線對面的核彈頭添磚加瓦。

同時，洗錢路徑已經相當成熟：被盜資產先通過「剝離鏈」技術拆分成無數小額交易，再經由混幣器（如 Tornado Cash、Sinbad）混淆來源，然後通過朝鮮自建的交易所以折扣價兌換成比特幣，最後通過中俄的地下渠道兌換成法幣。

2019年 Upbit 被盜的34.2萬枚 ETH，韓國警方正式公布調查結果顯示： 57%在疑似朝鮮運營的三家交易所以低於市場價2.5%的價格兌換成比特幣，剩餘43%通過13個國家的51家交易所洗白。整個過程歷時數年，至今絕大部分資金仍未追回。

這或許是韓國交易所面臨的根本困境：

一邊是 Lazarus，一支擁有國家資源支持、可以24小時輪班作業、不計成本投入的黑客部隊；另一邊是 Upbit、Bithumb 這樣的商業公司。

即便是通過審查的頭部交易所，在面對國家級高持續性威脅攻擊時，依然力不從心。

不只是韓國的問題

八年、十餘起攻擊、約2億美元損失，如果只把這當作韓國加密行業的本地新聞，就錯過了更大的圖景。

韓國交易所的遭遇，是加密行業與國家級對手博弈的預演。

朝鮮是最顯眼的玩家，但不是唯一的玩家。俄羅斯某些高威脅攻擊組織被指與多起DeFi攻擊存在關聯，伊朗黑客曾針對以色列加密公司發動攻擊，朝鮮自己也早已把戰場從韓國擴展到全球，比如2025年Bybit的15億美元、2022年Ronin的6.25億美元，受害者遍布各大洲。

加密行業有一個結構性矛盾，即一切必須經過中心化的入口。

無論鏈本身多麼安全，用戶的資產終究要通過交易所、跨鏈橋、熱錢包這些「咽喉要道」流動。

這些節點集中了海量資金，卻由預算有限的商業公司運營；對國家級黑客而言，這是效率極高的狩獵場。

攻防雙方的資源從根本上不對等，Lazarus 可以失敗一百次，交易所只能失敗一次。

泡菜溢價還會繼續吸引全球套利者和本土散戶，Lazarus不會因為被曝光而停手，韓國交易所與國家級黑客的攻防戰遠未結束。

只是希望下一次被盜的，不是你自己的錢。

聲明：

1. 本文轉載自 [TechFlow]，著作權歸屬原作者 [TechFlow]，如對轉載有異議，請聯繫 Gate Learn 團隊，團隊會根據相關流程儘速處理。
2. 免責聲明：本文所表達的觀點和意見僅代表作者個人觀點，不構成任何投資建議。
3. 文章其他語言版本 由 Gate Learn 團隊翻譯， 在未提及 Gate 的情況下不得複製、傳播或抄襲經翻譯文章。