Южнокорейские следователи начали расследование после аномального вывода 44,5 миллиарда вон с криптобиржи Upbit 27 ноября 2025 года. Атака, обнаруженная командами безопасности биржи, вызвала экстренную реакцию с участием Национального полицейского агентства и Национальной разведывательной службы.
Власти подозревают, что киберподразделение, связанное с Северной Кореей и известное как Lazarus Group, организовало ограбление, используя протоколы аутентификации и системные уязвимости. Инцидент поразительно похож на несанкционированный вывод 58 миллиардов вон в 2019 году, что подтверждает принадлежность тем же участникам продвинутой устойчивой угрозы (APT).
Агентство Yonhap News Agency сообщило, что следователи обнаружили характерные криминалистические доказательства, связывающие образцы вторжения с инструментами и тактиками, ранее применявшимися операторами Lazarus. Биржи и регуляторы активизировали сотрудничество для отслеживания потока средств с помощью анализа блокчейна и контрольных точек на биржах.
Неименованный официальный источник сообщил, что атакующие обошли многофакторную аутентификацию и использовали уязвимость нулевого дня в рамках внутренней инфраструктуры хранения активов Upbit. Оператор биржи Dunamu подтвердил проведение текущих аудитов систем и заверил пользователей, что восстановленные активы будут возвращены из страховых резервов.
Взлом произошёл за считанные часы до того, как Naver Financial объявила о планируемой покупке Dunamu, материнской компании Upbit, сделкой стоимостью более 15 триллионов вон. Такое совпадение во времени вызывает озабоченность по поводу должной проверки и интеграции мер кибербезопасности в процессы слияний и поглощений.
Ранее к Lazarus приписываются инциденты, включая кражу 81 миллиона долларов у Bangladesh Bank в 2016 году и несколько атак на DeFi. Эволюционный арсенал группы сочетает в себе кампании целевого фишинга, внедрение вредоносного ПО и манипуляции со смарт-контрактами, нацеленные на биржи, кошельки и мосты между блокчейнами.
В ответ на взлом Комиссия по финансовым услугам Южной Кореи пообещала ускорить разработку регуляторных руководств по стандартам хранения и раскрытию информации об инцидентах. Аналитики рынка ожидают повышенную волатильность, поскольку институциональные инвесторы переосмысляют риски, в то время как розничная торговля может столкнуться с временными ограничениями в рамках проверки безопасности.
Chainalysis и другие поставщики ончейн-аналитики привлечены к отслеживанию украденных токенов, применяя собственные эвристики для выявления путей отмывания средств и точек входа на биржи. Совместные усилия направлены на перехват потенциальных точек вывода средств и заморозку активов в нескольких юрисдикциях.
Инцидент на Upbit стал одним из крупнейших взломов 2025 года, вновь подталкивая к активному внедрению протоколов децентрализованных финансов к передовым мерам безопасности, таким как многосторонние вычисления и аппаратно-ориентированные решения по управлению ключами. По мере того как отрасль сталкивается с регуляторной неопределённостью и новыми угрозами, значимость прочных рамок кибербезопасности становится как никогда очевидной.
Комментарии (0)