Премія Kimchi проти державних хакерів: прихована кібервійна між Південною та Північною Кореєю після низки зламів Upbit

Ринок демонструє відновлення, однак криптобіржі знову стикаються з серйозними порушеннями безпеки.

27 листопада Upbit — найбільша криптовалютна біржа Південної Кореї — офіційно підтвердила масштабний інцидент, унаслідок якого втрачено близько 54 мільярдів кор. вон (36,8 мільйона дол. США) активів.

О 04:42 за корейським стандартним часом 27 листопада, коли більшість трейдерів ще спали, з гарячого гаманця Solana на Upbit було виведено аномально великі суми.

За даними блокчейн-аналітиків, зокрема SlowMist, зловмисник не обмежився однією криптовалютою, а здійснив масштабну крадіжку активів Upbit у мережі Solana.

Серед викрадених активів — ключові токени SOL і USDC, а також майже всі основні SPL-токени екосистеми Solana.

Перелік частини викрадених активів:

• DeFi/Інфраструктура: JUP (Jupiter), RAY (Raydium), PYTH (Pyth Network), JTO (Jito), RENDER, IO тощо.
• Meme/Спільнота: BONK, WIF, MOODENG, PENGU, MEW, TRUMP тощо.
• Інші проєкти: ACS, DRIFT, ZETA, SONIC тощо.

Масштабна крадіжка свідчить про ймовірний доступ зловмисника до приватного ключа гарячого гаманця Solana Upbit або компрометацію сервера підпису, що дозволило авторизувати та перевести всі SPL-токени, які зберігалися на гаманці.

Для Upbit, яка володіє 80% корейського крипторинку та має найвищу сертифікацію безпеки від Корейського агентства інтернету та безпеки (KISA), це значна втрата.

Однак це не перший випадок зламу біржі у Південній Кореї.

Впродовж останніх восьми років крипторинок Південної Кореї систематично ставав ціллю хакерів — особливо з Північної Кореї.

Корейський крипторинок — не лише осередок роздрібних спекуляцій, а й улюблений “банкомат” для хакерів із Північної Кореї.

Вісім років кіберконфлікту Північ-Південь: хроніка зламів бірж

Методи атак еволюціонували від грубих зламів до складної соціальної інженерії, а список атакованих корейських бірж постійно зростав.

Загальні втрати: близько 200 мільйонів кор. вон (200 мільйонів дол. США на момент крадіжки; понад 1,2 мільярда дол. США за поточними цінами, при цьому 342 000 ETH, викрадених з Upbit у 2019 році, нині коштують понад 1 мільярд дол. США)

• 2017: Дикий Захід — атаки на комп’ютери співробітників

2017-й став стартом бичачого ринку криптовалют і початком серії атак для корейських бірж.

Bithumb, найбільша біржа країни, стала першою великою жертвою. У червні хакери проникли на персональний комп’ютер співробітника Bithumb, викравши персональні дані близько 31 000 користувачів. На основі цих даних було проведено цільові фішингові атаки та викрадено близько 32 мільйонів кор. вон (32 мільйони дол. США). Слідство встановило, що нешифровані дані клієнтів зберігалися на пристрої співробітника, а базові оновлення безпеки були відсутні.

Інцидент оголив системні прогалини безпеки на корейських біржах — навіть елементарні правила щодо зберігання клієнтських даних не дотримувалися.

Крах біржі середнього розміру Youbit був ще масштабнішим. Протягом року Youbit пережила дві катастрофічні атаки: майже 4 000 BTC (близько 5 мільйонів кор. вон або 5 мільйонів дол. США) втрачено у квітні, ще 17% активів викрадено в грудні. Не зумівши відновитися, Youbit оголосила банкрутство, дозволивши користувачам вивести лише 75% балансу, а решта підлягала тривалим банкрутним процедурам.

Після інциденту з Youbit KISA (Корейське агентство інтернету та безпеки) вперше публічно звинуватила Північну Корею у причетності до атаки, чітко сигналізувавши ринку:

Біржі опинилися під загрозою державних хакерських груп із геополітичними мотивами, а не лише звичайних кіберзлочинців.

• 2018: Пограбування гарячих гаманців

У червні 2018 року відбулася серія атак на корейський ринок.

10 червня середня біржа Coinrail зазнала зламу, втративши понад 40 мільйонів кор. вон (40 мільйонів дол. США). На відміну від попередніх випадків, хакери фокусувалися на токенах ICO (зокрема NPXS від Pundi X), а не на Bitcoin чи Ethereum. Новина спричинила короткочасне падіння ціни Bitcoin більш ніж на 10%, а крипторинок втратив понад 4 мільярди дол. США ринкової вартості за два дні.

Всього через десять днів зламали провідну біржу Bithumb, викравши близько 31 мільйона кор. вон (31 мільйон дол. США) у вигляді XRP та інших токенів із гарячого гаманця. Показово, що за кілька днів до цього Bithumb оголосила у Twitter про “переведення активів у холодні гаманці для підвищення безпеки”.

Це був третій злам Bithumb за 18 місяців.

Серія атак серйозно підірвала ринкову довіру. Міністерство науки та ІКТ провело аудит 21 внутрішньої біржі, з яких лише 7 пройшли всі 85 перевірок безпеки. Решта 14 були “під постійною загрозою зламу”, а 12 мали суттєві недоліки у менеджменті холодних гаманців.

• 2019: Крадіжка 342 000 ETH з Upbit

27 листопада 2019 року Upbit стала жертвою найбільшої одиничної криптокрадіжки в історії Південної Кореї.

Хакери скористалися процесом консолідації гаманців, перевівши 342 000 ETH однією транзакцією. Замість негайного продажу активів вони застосували техніку “peel chain”, розділивши кошти на безліч дрібних транзакцій, проводячи їх через десятки бірж без KYC та міксери.

Слідчі встановили, що 57% викраденого ETH було обміняно на Bitcoin зі знижкою 2,5% на біржах, які ймовірно контролює Північна Корея, а решта 43% відмивалася через 51 біржу у 13 країнах.

Лише у листопаді 2024 року, через п’ять років, корейська поліція офіційно підтвердила, що атаку здійснили Lazarus Group та Andariel із Північної Кореї. Слідчі відстежили IP-адреси, проаналізували рух коштів і виявили характерні для Північної Кореї кодові слова, як “흘한 일” (“неважливо”) у програмному забезпеченні атаки.

Корейські правоохоронці у співпраці з ФБР чотири роки відстежували активи, зрештою повернувши 4,8 BTC (близько 600 мільйонів кор. вон) зі швейцарської біржі до Upbit у жовтні 2024 року.

Порівняно із загальною сумою викраденого, це мізерна компенсація.

• 2023: Інцидент на GDAC

9 квітня 2023 року середню біржу GDAC зламали, втративши близько 13 мільйонів кор. вон (13 мільйонів дол. США) — 23% активів під управлінням.

Серед викрадених активів — близько 61 BTC, 350 ETH, 10 мільйонів WEMIX і 220 000 USDT. Хакери отримали контроль над гарячим гаманцем GDAC і швидко відмили частину коштів через Tornado Cash.

• 2025: Upbit знову зламали — рівно через шість років

27 листопада, через шість років після попереднього зламу, Upbit зазнала чергової серйозної крадіжки.

О 04:42 гарячий гаманець Solana Upbit зафіксував аномальні відтоки, близько 54 мільярдів кор. вон (36,8 мільйона дол. США) переведено на невідомі адреси.

Після зламу Upbit у 2019 році в Південній Кореї запровадили “Спеціальний закон” у 2020 році, який зобов’язав всі біржі отримати сертифікацію ISMS (Інформаційна система управління безпекою) та використовувати реальні банківські рахунки. Багато дрібних бірж залишили ринок, залишивши кілька гігантів. Upbit, підтримана Kakao та сертифікована, захопила понад 80% ринку.

Попри шість років регуляторних реформ, Upbit знову стала жертвою атаки.

На момент публікації Upbit пообіцяла повністю компенсувати постраждалим користувачам збитки, однак подробиці щодо зловмисника та методу атаки залишаються невідомими.

“Kimchi Premium”, державні хакери та ядерна зброя

Часті інциденти безпеки на корейських біржах — це не лише технічні збої, а відображення трагічної геополітичної реальності.

У надцентралізованому, ліквідному та географічно унікальному ринку корейські біржі змушені захищатися комерційними бюджетами безпеки від державних хакерських підрозділів із ядерними амбіціями.

Йдеться про Lazarus Group.

Lazarus працює під контролем Головного розвідувального бюро Північної Кореї (RGB) і є одним із найелітніших кіберпідрозділів Пхеньяна.

Ще до атак на криптоіндустрію Lazarus продемонструвала свої можливості у традиційних фінансах.

Група зламала Sony Pictures у 2014 році, викрала 81 мільйон кор. вон (81 мільйон дол. США) з банку Бангладеш у 2016 році та запустила атаку-здирництво WannaCry у 2017 році, що зачепила 150 країн.

З 2017 року Lazarus переорієнтувалася на криптовалюти з простої причини:

Криптобіржі менш регульовані, мають нестабільні стандарти безпеки, а викрадені кошти можна швидко перевести через кордон на блокчейні, обходячи міжнародні санкції.

Південна Корея — ідеальна ціль.

По-перше, це природний геополітичний суперник. Атаки на корейські компанії дають Північній Кореї і фінансування, і хаос у “ворожій” державі.

По-друге, “kimchi premium” створює прибутковий ліквідний пул. Корейські роздрібні інвестори відомі своєю активністю, що підвищує попит і формує постійні премії, коли кор. вон переслідує обмежені криптоактиви.

Це означає, що гарячі гаманці корейських бірж містять набагато більше ліквідності, ніж аналогічні гаманці на інших ринках — приваблива ціль для хакерів.

По-третє, мовний фактор. Lazarus майстерно володіє соціальною інженерією — фальшиві вакансії, фішингові листи, імітація служби підтримки для отримання кодів верифікації.

Без мовного бар’єру цільові фішингові атаки на співробітників і користувачів корейських бірж значно ефективніші.

Куди ж діваються викрадені кошти? Це, ймовірно, найважливіша частина історії.

Звіти ООН і блокчейн-аналітики простежили, що викрадені Lazarus криптоактиви фінансують ядерні та ракетні програми Північної Кореї.

Раніше Reuters цитувала конфіденційний звіт ООН, згідно з яким Північна Корея використовує викрадену криптовалюту для фінансування розробки ракет.

У травні 2023 року заступниця радника з нацбезпеки США Енн Нойбергер заявила, що близько 50% фінансування ракетної програми Північної Кореї надходить із кіберзлочинів і крадіжок криптовалюти, що більше, ніж “близько третини” у липні 2022 року.

Фактично, кожен злам корейської біржі може опосередковано фінансувати створення ядерних боєголовок на кордоні з демілітаризованою зоною.

Схеми відмивання коштів нині надзвичайно складні: активи дроблять на численні дрібні транзакції за допомогою “peel chain”, міксують через Tornado Cash або Sinbad, обмінюють на Bitcoin зі знижкою на біржах, що контролює Північна Корея, і зрештою конвертують у фіат через підпільні канали в Китаї та Росії.

За даними корейської поліції, зі 342 000 ETH, викрадених з Upbit у 2019 році, 57% було обміняно на Bitcoin на трьох біржах, що належать Північній Кореї, зі знижкою 2,5%, а решта 43% відмивалася через 51 біржу у 13 країнах. Більшість коштів залишаються невідновленими роками потому.

Це підкреслює основну дилему корейських бірж:

З одного боку, Lazarus має державні ресурси, необмежені інвестиції та працює цілодобово. З іншого — комерційні компанії, як Upbit і Bithumb, змушені захищатися від безперервних державних атак.

Навіть провідні біржі з потужними аудитами безпеки не можуть ефективно протистояти державним атакам.

Це не лише проблема Південної Кореї

Вісім років, понад десяток атак і 200 мільйонів кор. вон (200 мільйонів дол. США) втрат — якщо ви вважаєте це лише локальною проблемою Кореї, ви не бачите всієї картини.

Досвід корейських бірж — це пролог боротьби криптоіндустрії з державними супротивниками.

Північна Корея — найвідоміша, але не єдина. Російські групи пов’язують із атаками на DeFi, іранські хакери атакують ізраїльські криптокомпанії, а Північна Корея розширила діяльність глобально: крадіжка 1,5 мільярда дол. США з Bybit у 2025 році та 625 мільйонів дол. США з Ronin у 2022 році вплинули на жертв у всьому світі.

Криптоіндустрія стикається з фундаментальною проблемою: всі транзакції проходять через централізовані вузли.

Незалежно від рівня захисту блокчейну, активи зрештою проходять через біржі, містки та гарячі гаманці — основні цілі для атак.

Ці вузли концентрують великі суми, але ними керують комерційні компанії з обмеженими ресурсами, що робить їх привабливими для державних хакерів.

Ресурси захисників і нападників принципово нерівні. Lazarus може помилитися сто разів; біржа — лише один.

“Kimchi premium” і надалі приваблюватиме світових арбітражерів і місцевих роздрібних інвесторів. Lazarus не зупиниться лише через викриття, а битва між корейськими біржами та державними хакерами далека від завершення.

Наступна атака може вплинути на будь-кого з учасників ринку.

Заява:

1. Ця стаття перепублікована з [TechFlow]. Авторські права належать оригінальному автору [TechFlow]. З питань перепублікації звертайтеся до команди Gate Learn для оперативного вирішення згідно з встановленими процедурами.
2. Відмова від відповідальності: Погляди та думки, висловлені в цій статті, є виключно авторськими й не є інвестиційною порадою.
3. Інші мовні версії перекладені командою Gate Learn. Якщо не зазначено Gate, перекладені статті не можна копіювати, розповсюджувати чи плагіатити.