Dél-koreai nyomozók vizsgálatot indítottak az Upbit kriptovaluta-tőzsde rendellenes 44,5 milliárd won kivonása után, 2025. november 27-én. A támadást a tőzsdei biztonsági csoportok észlelték, és vészhelyzeti reagálást váltott ki a Nemzeti Rendőrség és a Nemzeti Hírszerzési Szolgálat bevonásával.
A hatóságok Észak-Koreával összefüggő kiberszakértő egységként a Lazarus-csoportot gyanítják, amely a hitelesítési protokollok és rendszerhibák kiaknázásával szervezte meg a rablást. Az eset erősen hasonlít egy 2019-es, 58 milliárd won összegű jogosulatlan kivonáshoz, ami ugyanazon fejlett állandó fenyegetés (APT) szereplőkhöz vezet.
A Yonhap Hírügynökség beszámolója szerint a nyomozók olyan jellegzetes igazságügyi bizonyítékokat találtak, amelyek összekapcsolják a behatolási mintákat a Lazarus operatívai által korábban alkalmazott eszközökhöz és taktikákhoz. A tőzsdék és a szabályozók intenzívebb együttműködést folytatnak a pénzáramlás felderítésében blokklánc-elemzéssel és tőzsdei ellenőrzőpontokkal.
Egy névtelen tisztviselő szerint a támadók megkerülték a többtényezős hitelesítést és kihasználtak egy zero-day sebezhetőséget az Upbit belső eszközkezelő infrastruktúrájában. Az Upbit üzemeltetője, Dunamu, megerősítette a folyamatban lévő rendszerauditokat, miközben megnyugtatta a felhasználókat, hogy a helyreállított eszközöket a biztosítási tartalékokból pótolják.
A behatolás mindössze néhány órával azután történt, hogy a Naver Financial bejelentette az Upbit anyavállalata, a Dunamu felvásárlására vonatkozó javaslatát, amely több mint 15 trillió won értékű megállapodás keretében történik. Az időzítés aggodalmakat kelt a due diligence és a kiberbiztonsági intézkedések integrációja terén a felvásárlások folyamataiban.
A Lazarus-csoporthoz korábban a 2016-os Bangladesi Bankból 81 millió dollár lopása és több DeFi-támadás köthető. A csoport arzenálja továbbfejlődik: a spear-phishing kampányokat, kártevő beültetéseket és okosszerződés-manipulációkat ötvözi, amelyek tőzsdéket, pénztárcákat és blokklánc-hidakat céloznak.
A hackre reagálva Dél-Korea Pénzügyi Szolgáltatások Bizottsága vállalta, hogy felgyorsítja a letéti standardokra és vészhelyzeti incidensek közzétételére vonatkozó szabályozási irányelvek kidolgozását. A piaci elemzők várják a fokozott volatilitást, miközben intézményi befektetők átértékelik a kockázatokat, míg a kiskereskedelmi kereskedési volumek átmeneti korlátozásokkal nézhetnek szembe a biztonsági felülvizsgálatok előtt.
A Chainalysis és más láncon belüli elemző szolgáltatók felkérésre nyomkövetik a lopott tokeneket, sajátos heuristikákat alkalmazva a pénzmosási útvonalak és az exchange-ramps azonosítására. A közreműködés célja a potenciális készpénzkivonási pontok megakadályozása és az eszközök befagyasztása több joghatóságon keresztül.
A Upbit-incidens a 2025-ös év egyik legnagyobb hackjévé vált, és sürgető felhívásokat kelt a decentralizált finanszírozási protokollok számára, hogy fejlett biztonsági primitívumokat építsenek be, például több fél részvételével végzett számításokra (multi-party computation, MPC) és hardveralapú kulcskezelési megoldásokra. Ahogy az iparág a szabályozási bizonytalanságokkal és felbukkanó fenyegetésekkel küzd, a robusztus kiberbiztonsági keretrendszerek fontossága soha nem volt olyan nyilvánvaló.
Hozzászólások (0)