朝韓暗戰新前線：Upbit，北韓駭客的「核武提款機」？

原文標題：《泡菜溢價VS 國家黑客，Upbit 數次被盜後的朝韓暗戰》

原文作者：深潮TechFlow

市場反彈了，但交易所又被偷了。

11 月27 日，韓國最大的加密貨幣交易所Upbit 確認發生安全漏洞，導致價值約540 億韓元（約3,680 萬美元）的資產流失。

首爾時間11 月27 日凌晨04:42（KST），當大多數韓國交易員還在沉睡時，Upbit 的Solana 熱錢包地址出現了異常的大規模資金流出。

根據慢霧等安全機構的鏈上監測數據，攻擊者並未採取單一資產轉移的方式，而是對Upbit 在Solana 鏈上的資產進行了「清空式」掠奪。

被盜資產不僅包含核心代幣SOL和穩定幣USDC ，還涵蓋了Solana 生態內幾乎所有主流的SPL 標準代幣。

被盜資產清單（部分）：

• DeFi/基礎設施類：JUP (Jupiter), RAY (Raydium), PYTH (Pyth Network), JTO (Jito), RENDER, IO 等。
• Meme/社區類：BONK, WIF, MOODENG, PENGU, MEW, TRUMP 等。
• 其他項目：ACS, DRIFT, ZETA, SONIC 等。

這種一鍋端的特徵表明，攻擊者極有可能獲取了Upbit 負責Solana 生態熱錢包的私鑰權限，或者是簽名伺服器（Signing Server）遭到了直接控制，導致其能夠對該錢包下的所有SPL 代幣進行授權轉移。

對於Upbit 這家佔據韓國80% 市場份額、以擁有韓國互聯網振興院（KISA）最高安全等級認證為傲的巨頭來說，這無疑是一次慘痛的「破防」。

不過，這也不是韓國交易所第一次被偷了。

如果將時間軸拉長，我們會發現韓國加密市場在過去八年裡，實際上一直被駭客，尤其是北韓駭客光顧。

韓國加密市場，不僅是全球最瘋狂的散戶賭場，也是北韓駭客最順手的「提款機」。

八年朝韓攻防，被竊編年史

從早期的暴力破解到後來的社會工程滲透，攻擊手段不斷進化，韓國交易所的受難史也隨之延長。

累計損失：約2億美元（以被竊時價格；若以目前價格計算超過12億美元，其中僅2019年Upbit被竊的34.2萬枚ETH現值已超10億美元）

2017：蠻荒時代，駭客從員工電腦下手

2017 年是加密牛市的起點，也是韓國交易所惡夢的開始。

這一年，韓國最大的交易所Bithumb 率先「中招」。 6 月，駭客入侵了一名Bithumb 員工的個人電腦，竊取了約31,000 名用戶的個人信息，隨後利用這些數據對用戶發起定向釣魚攻擊，捲走約3200 萬美元。事後調查發現，員工電腦上儲存未加密的客戶數據，公司甚至沒有安裝基本的安全性更新軟體。

這暴露了當時韓國交易所安全管理的草台狀態，連「不要在私人電腦存客戶資料」這種常識都沒有建立。

更具標誌性意義的是中型交易所Youbit 的覆滅。這家交易所在一年內遭受了兩次毀滅性打擊：4 月失去近4000 枚比特幣（約500 萬美元），12 月再次被盜走17% 的資產。不堪負荷的Youbit 宣布破產，用戶只能先提領75% 的餘額，剩餘部分需等待漫長的破產清算。

Youbit 事件後，南韓網路安全局（KISA）首次公開指控北韓是幕後黑手。這也向市場發出了一個訊號：

交易所面對的不再是普通網路竊賊，而是有著地緣政治目的的國家級駭客組織。

2018：熱錢包大劫案

2018 年6 月，韓國市場經歷了連續重創。

6 月10 日，中型交易所Coinrail 遭遇攻擊，損失超過4,000 萬美元。與先前不同，這次駭客主要掠奪的是當時火熱的ICO 代幣（如Pundi X 的NPXS），而非比特幣或以太坊。消息傳出後，比特幣價格短暫暴跌超過10%，整個加密市場在兩天內蒸發超過400 億美元市值。

僅僅十天後，韓國頭交易所Bithumb 也宣告失守，熱錢包被偷走約3,100 萬美元的XRP 等代幣。諷刺的是，攻擊發生前幾天，Bithumb 剛在推特上宣布正在「將資產轉移至冷錢包以升級安全系統」。

這是Bithumb 一年半內第三次被駭客「光顧」。

「連環爆雷」嚴重打擊了市場信心。事後，韓國科技部對國內21 家交易所進行安全審查，結果顯示只有7 家通過全部85 項檢查，剩餘14 家「隨時可能暴露於黑客攻擊風險中」，其中12 家在冷錢包管理方面存在嚴重漏洞。

2019：Upbit 的342,000 枚ETH 被盜

2019 年11 月27 日，韓國最大交易所Upbit 遭遇了當時國內史上最大規模的單一竊盜。

駭客利用交易所整理錢包的間隙，單筆轉走了342,000 枚ETH。他們沒有立即砸盤，而是透過「剝離鏈」（Peel Chain）技術，將資金拆解成無數筆小額交易，層層轉移，最終流入數十家非KYC 交易所和混幣器。

調查顯示，57% 的被盜ETH 以低於市價2.5% 的折扣在疑似北韓營運的交易所兌換成比特幣，剩餘43% 透過13 個國家的51 家交易所洗白。

直到五年後的2024 年11 月，韓國警方才正式確認該案系北韓駭客組織Lazarus Group 和Andariel 所為。調查人員透過IP 追蹤、資金流向分析，以及攻擊代碼中出現的北韓特有詞彙「흘한일」（意為「不重要」）鎖定了攻擊者身分。

韓國當局與美國FBI 合作追蹤資產，歷經四年司法程序，最後從瑞士一家交易所追回4.8 枚比特幣（約6 億韓元），並於2024 年10 月歸還Upbit。

不過比起被盜總額，這點追回幾乎可以忽略不計。

2023：GDAC 事件

2023 年4 月9 日，中型交易所GDAC 遭遇攻擊，損失約1,300 萬美元——佔其託管總資產的23%。

被竊資產包括約61 枚BTC、350 枚ETH、1,000 萬枚WEMIX 代幣和22 萬USDT。駭客控制了GDAC 的熱錢包，並迅速將部分資金透過Tornado Cash 混幣器洗白。

2025：六年後的同一天，Upbit 再次淪陷

六年前的同一天（11月27日），Upbit 曾損失342,000 枚ETH。

歷史再次重演。凌晨4:42，Upbit 的Solana 熱錢包出現異常資金流出，約540 億韓元（3,680 萬美元）的資產轉移至未知地址。

2019 年Upbit 事件之後，2020 年韓國正式實施《特定金融資訊法》（特金法），要求所有交易所取得ISMS（資訊安全管理系統）認證並在銀行開設實名帳戶。大量無法達標的小型交易所被迫退出市場，產業格局從「百所混戰」收縮為少數幾家巨頭主導。 Upbit 憑藉Kakao 系的資源背書和認證的通過，市佔率一度超過80%。

但六年的合規建設，並沒有讓Upbit 逃過這一劫。

截至發稿，Upbit 已宣布將以自有資產全額賠付用戶損失，但關於攻擊者身分和具體攻擊路徑，官方尚未公佈詳細資訊。

泡菜溢價、國家級駭客與核武器

韓國交易所頻頻被盜並非單純的技術無能，而是地緣政治的悲劇投影。

在一個高度中心化、流動性溢價極高且地理位置特殊的市場，韓國交易所實際上是在用一家商業公司的安防預算，去對抗一個擁有核威懾訴求的國家級黑客部隊。

這支部隊有個名字： Lazarus Group。

Lazarus 隸屬於北韓偵察總局（RGB），是平壤最精銳的網路戰力量之一。

在轉向加密貨幣之前，他們已經在傳統金融領域證明了自己的實力。

2014年攻破索尼影業，2016年從孟加拉央行盜走8,100萬美元，2017年策劃了波及150個國家的WannaCry勒索病毒。

2017年起，Lazarus 將目標轉向加密貨幣領域。原因很簡單：

相較於傳統銀行，加密貨幣交易所監管更鬆、安全標準參差不齊，一旦得手，資金可以透過鏈上轉移迅速跨境，繞過國際制裁體系。

而韓國，恰好是最理想的獵場。

第一，韓國是地緣對抗的天然目標。對北韓而言，攻擊南韓企業不僅能取得資金，還能在「敵國」製造混亂，一舉兩得。

第二，泡菜溢價背後是肥美的資金池。韓國散戶對加密貨幣的狂熱舉世聞名，溢價的本質是供不應求，大量韓元湧入，追逐有限的加密資產。

這意味著韓國交易所的熱錢包裡，長期躺著遠超其他市場的流動性。對駭客來說，這就是一座金礦。

第三，語言有優勢。 Lazarus 的攻擊並非只靠技術暴力破解。他們擅長社會工程學，例如偽造招募資訊、發送釣魚郵件、冒充客服套取驗證碼。

朝韓同文同種，語言障礙為零，讓針對韓國員工和使用者的定向釣魚攻擊成功率大幅提升。

被偷的錢去哪了？這可能才是故事最有看點的部分。

根據聯合國報告和多家區塊鏈分析公司的追踪，Lazarus 竊取的加密貨幣最終流向了北韓的核武和彈道飛彈計劃。

此前， 路透社引述一份聯合國機密報告稱，北韓使用被盜的加密貨幣資金來幫助資助其飛彈開發計畫。

2023年5月，白宮副國家安全顧問Anne Neuberger 公開表示，北韓飛彈計畫約50%的資金來自網路攻擊和加密貨幣竊盜；這一比例相比她2022年7月給出的「約三分之一」進一步上升。

換句話說，每一次韓國交易所被盜，都可能在間接為三八線對面的核彈頭添磚加瓦。

同時，洗錢路徑已經相當成熟：被盜資產先透過「剝離鏈」技術拆分成無數小額交易，再經由混幣器（如Tornado Cash、Sinbad）混淆來源，然後通過朝鮮自建的交易所以折扣價兌換成比特幣，最後通過中俄的地下渠道兌換成法幣。

2019年Upbit 被竊的34.2萬枚ETH，韓國警方正式公佈調查結果顯示： 57%在疑似北韓營運的三家交易所以低於市價2.5%的價格兌換成比特幣，剩餘43%透過13個國家的51家交易所洗白。整個過程歷時數年，至今絕大部分資金仍未追回。

這或許是韓國交易所面臨的根本困境：

一邊是Lazarus，一支擁有國家資源支援、可以24小時輪班作業、不計成本投入的駭客部隊；另一邊是Upbit、Bithumb 這樣的商業公司。

即便是透過審查的頭部交易所，在面對國家級高持續性威脅攻擊時，依然力不從心。

不只是韓國的問題

八年、十餘起攻擊、約2億美元損失，如果只把這當作韓國加密產業的本地新聞，就錯過了更大的圖景。

韓國交易所的遭遇，是加密產業與國家級對手賽局的預演。

北韓是最顯眼的玩家，但不是唯一的玩家。俄羅斯某些高威脅攻擊組織被指與多起DeFi攻擊有關聯，伊朗駭客曾針對以色列加密公司發動攻擊，北韓自己也早已把戰場從南韓擴展到全球，例如2025年Bybit的15億美元、2022年Ronin的6.25億美元，受害者遍布各大洲。

加密產業有一個結構性矛盾，即一切必須經過中心化的入口。

無論鏈本身多麼安全，用戶的資產終究要透過交易所、跨鏈橋、熱錢包這些「咽喉要道」流動。

這些節點集中了大量資金，卻由預算有限的商業公司營運；對國家級駭客而言，這是一個效率極高的狩獵場。

攻防雙方的資源根本不對等，Lazarus 可以失敗一百次，交易所只能失敗一次。

泡菜溢價還會繼續吸引全球套利者和本土散戶，Lazarus不會因為被曝光而停手，韓國交易所與國家級黑客的攻防戰遠未結束。

只是希望下一次被偷的，不是你自己的錢。

原文連結