拉扎鲁斯集团涉嫌从Upbit盗取3000万美元

！image

资料来源：CryptoValleyJournal 原始标题：拉撒路集团涉嫌从Upbit盗取3000万美元 原文链接： https://cryptovalleyjournal.com/hot-topics/news/lazarus-group-suspected-of-stealing-30-million-usd-from-upbit/ 朝鲜臭名昭著的Lazarus黑客组织被怀疑从Upbit盗取了约445亿韩元(大约3040万美元)，这远远超过了韩国最大的加密货币交易所。

该交易所报告了基于Solana的加密资产的异常提款，并立即暂停了所有存款和提款。根据韩国新闻社Yonhap的报道，监管机构正在准备对Upbit进行现场检查，因为此次攻击模式与2019年相似——当时有342,000 ETH (今天价值近10亿美元)从该交易所被盗。韩国警方在2024年已经得出结论，认为Lazarus Group是该盗窃事件的幕后黑手。至少有24种基于Solana的代币从一个被攻破的热钱包中被提取。链上数据表明，与此次攻击相关的钱包已经开始将Solana兑换为USDC，并通过桥接将资金转移到以太坊。

验证过的策略：社会工程而非技术漏洞

攻击者的可疑方法遵循一个熟悉的模式：黑客们不是直接攻击服务器，而是可能通过入侵管理员账户或假冒管理员来授权交易。这种社会工程方法已被拉扎鲁斯集团证明极其有利可图。

当前的Upbit案件加入了长长的高调加密货币盗窃系列。仅在2025年，朝鲜黑客就盗取了超过20亿美元的加密货币——这是有记录以来最高的年度总额。大部分来自于2025年2月某交易平台的14.6亿美元盗窃。其他攻击则针对了LND.fi、WOO X和Seedify。

更深入的回顾揭示了全面的规模：拉扎鲁斯集团被指控在2017年至2025年间盗窃总额在50亿到60亿美元之间。其中最引人注目的案例包括2022年3月的罗宁桥黑客攻击，涉及6.25亿美元，以及2022年6月对和谐地平线桥的1亿美元攻击。在这两起案件中，FBI确认了朝鲜黑客集团的参与。此外，犯罪分子系统性地使用混合器Tornado Cash进行洗钱，通过该服务将这两起黑客攻击中超过5.55亿美元的资金转移。

通过网络犯罪进行国家融资：朝鲜的商业模式

这些攻击与典型网络犯罪的区别在于它们的地缘政治维度。朝鲜政府依靠广泛的非法活动，包括网络犯罪，来为其大规模杀伤性武器和导弹项目筹集资金。与国家相关的黑客被明确指派通过非法手段获取外汇。

这些数字令人担忧。被盗的加密货币可能占朝鲜国内生产总值的多达13%。一些估计表明，超过一半的导弹开发预算是通过网络犯罪融资的。联合国多边制裁监测小组的一份报告，标题为《朝鲜通过网络和信息技术工作者活动违反和规避联合国制裁》，强调朝鲜的恶意网络活动对国际安全构成威胁。

在2025年11月，美国财政部对八名个人和两家参与洗钱来自朝鲜网络犯罪收益的组织实施了制裁。与此同时，拉撒路集团的战术也有所演变：虽然早期的攻击往往利用加密基础设施中的技术漏洞，但2025年的大多数黑客攻击都是通过社交工程进行的。这一转变显著增加了防御的复杂性，因为人类仍然是安全链中的最薄弱环节。

Upbit的主导地位与交易所安全的问题

此次攻击瞄准了韩国加密生态系统中最脆弱的点。根据韩国金融监管机构FSS的数据，Upbit控制着71.6%的国内加密交易量——在2025年的前六个月内处理了833万亿韩元(642亿美元)的加密交易。一些来源甚至引用了超过80%的市场份额。该平台每天交易额超过20亿美元。

下一个最大的竞争对手Bithumb的市场份额仅为25.8%。像Coinone、Korbit和GOPAX这样的较小交易所合计贡献不到5%的市场交易量。这种极端的集中度使得Upbit成为国家支持的黑客高度吸引的目标，并引发了关于集中交易所安全架构的基本问题。

Upbit 迅速作出回应：运营商 Dunamu 宣布将全额赔偿所有受影响用户，并暂时停止交易。但这一事件显示了即使是市场领先的平台也有多么脆弱。在黑客攻击发生的两天前，韩国科技巨头 Naver 宣布计划以 103 亿美元收购 Upbit —— 这是韩国历史上最大的收购案。此次黑客攻击可能会延迟交易并加大尽职调查程序的力度。

对国家资助攻击的监管无能

Upbit 案件突显了一个基本的困境。即使交易所遵守严格的监管要求，它们仍然容易受到高度专业的、国家资助的攻击者的攻击。北朝鲜的网络武器库经过多年的建设，拥有的资源远超普通犯罪分子。跨国执法在面对这些国家支持的行动者时达到了极限。虽然西方当局可以施加制裁并拆解洗钱网络，但平壤政权本身仍然不可触及。被盗资金通过复杂的混合服务和去中心化交易所流动，然后被兑换成法定货币或用于武器采购。

对于投资者和行业来说，这具有切实的影响。在集中式交易所持有大量加密货币资产存在风险，这种风险无论多少监管都无法完全消除。具有多重签名钱包、硬件安全模块和地理分布的冷存储系统的机构保管解决方案正成为专业市场参与者的标准。

Upbit的下一步

韩国当局已宣布将在未来几天对Upbit进行现场检查。重点将放在攻击者如何获取管理员账户的访问权限以及是否违反了内部安全协议。如果能够证明存在疏忽或安全架构不足，Upbit将面临重大处罚。

对于Naver计划收购而言，此次黑客事件是一个挫折。一些分析师预计交易将被重新评估，Naver可能会推动降低购买价格。如果收购完全失败，这可能会从根本上重塑韩国的金融科技格局，并给较小的交易所一个重新获得市场份额的机会。在国际上，此案可能会增加对混合服务和隐私币的压力。美国和欧盟已经宣布计划收紧对洗钱工具的监管。

Upbit黑客事件不仅仅是加密盗窃长名单上的又一条记录。它表明国家支持的网络犯罪已成为该行业的严重威胁，单靠监管或技术都无法提供解决方案。答案在于结合强有力的安全标准、国际执法合作以及对数字资产保管的根本性重新思考。