كوريا الجنوبية تحقق في مجموعة لازاروس بشأن اختراق منصة Upbit بقيمة 30 مليون دولار

ملخص

• تشتبه السلطات الكورية الجنوبية في أن مجموعة لازاروس الكورية الشمالية دبرت اختراق Upbit في 27 نوفمبر الذي سرق 30.4 مليون دولار من أصول الكريبتو.
• علقت Upbit الإيداعات والسحوبات بعد اكتشاف عمليات سحب غير مصرح بها لرموز Solana من المحفظة الساخنة، مما يمثل ثاني خرق كبير للبورصة في ست سنوات.
• استخدم اختراق عام 2025 تكتيكات مماثلة لاختراق Upbit من قبل لازاروس عام 2019، متضمنًا اختراق أو انتحال بيانات اعتماد المسؤول بدلاً من هجمات مباشرة على الخادم.
• حدث الاختراق في نفس اليوم الذي أعلنت فيه شركة Dunamu الأم لـ Upbit عن اندماج مع عملاق التكنولوجيا Naver، مما أدى إلى تكهنات حول التوقيت.
• تظهر بيانات البلوكشين أن الأموال المسروقة تم تبديلها بـ USDC وتم نقلها إلى Ethereum باستخدام تقنيات خلط شائعة في عمليات لازاروس.

تحقق السلطات الكورية الجنوبية في مجموعة لازاروس باعتبارها المصدر المحتمل وراء اختراق بقيمة 30.4 مليون دولار في Upbit، أكبر بورصة للكريبتو في البلاد. وقع الخرق في 27 نوفمبر عندما اكتشفت البورصة نشاطًا غير عادي للسحب في الرموز المستندة إلى Solana.

علقت Upbit على الفور جميع خدمات الإيداع والسحب بعد تحديد المعاملات غير المصرح بها. أبلغت البورصة في البداية عن خسائر بقيمة 54 مليار وون كوري، أو ما يقارب 36.8 مليون دولار، لكنها عدلت هذا الرقم لاحقًا إلى 44.5 مليار وون، أو 30.4 مليون دولار.

هذا يمثل ثاني خرق كبير للمحفظة الساخنة لـ Upbit في ست سنوات. عانت البورصة سابقًا من اختراق في نوفمبر 2019 عندما سرق المهاجمون 342,000 ETH.

خلصت الشرطة الكورية الجنوبية العام الماضي إلى أن لازاروس كانت مسؤولة عن تلك السرقة في عام 2019. أثارت أوجه التشابه بين الهجومين الشكوك حول الخرق الأخير.

أساليب الهجوم تعكس خرق 2019

وفقًا لمسؤولين حكوميين استشهدت بهم وكالة أنباء يونهاب، من المحتمل أن المتسللين قد اخترقوا حسابات المسؤولين أو انتحلوا شخصية المسؤولين للتصريح بالتحويلات. يعكس هذا النهج التكتيكات المستخدمة في هجوم 2019، بدلاً من استهداف خوادم البورصة مباشرة.

تستعد السلطات الكورية الجنوبية لإجراء تفتيش ميداني لـ Upbit بناءً على الثقة المتزايدة بأن لازاروس دبرت السرقة. لاحظ خبراء الأمن أن كوريا الشمالية تواجه نقصًا مستمرًا في العملات الأجنبية، مما يوفر دافعًا محتملاً للهجوم.

تتبع مزود تحليل البلوكشين Dethective الأموال المسروقة بعد الخرق. تظهر البيانات أن محفظة مرتبطة بالمتسلل قامت بتبديل رموز Solana بـ USDC وبدأت في نقل الأموال إلى Ethereum.

استخدم المهاجمون تقنيات خلط لغسل الأصول المسروقة. هذه الأساليب هي تكتيكات معروفة تستخدمها مجموعة لازاروس في سرقات الكريبتو السابقة.

التوقيت يثير التساؤلات

حدث الاختراق في نفس اليوم الذي أكدت فيه Naver Financial اندماجًا مع Dunamu، الشركة الأم لـ Upbit. أعلنت Naver Financial في 27 نوفمبر أنها ستدمج Dunamu كشركة تابعة مملوكة بالكامل لها.

ذكرت الشركة أن الاندماج يهدف إلى تأمين زخم النمو المستقبلي على أساس الأصول الرقمية. أثار توقيت الاختراق إلى جانب هذا الإعلان المؤسسي الكبير تكهنات حول ما إذا كان متعمدًا.

قال خبير أمني لوكالة يونهاب إن المتسللين غالبًا ما يسعون لإظهار قدراتهم. اقترح الخبير أن المهاجمين ربما اختاروا 27 نوفمبر تحديدًا ليتزامن مع إعلان الاندماج.

ارتبطت مجموعة لازاروس بالعديد من سرقات الكريبتو البارزة على مر السنين. تعمل المجموعة تحت توجيه كوريا الشمالية واستهدفت البورصات في جميع أنحاء العالم لتوليد إيرادات للنظام.

لم تقدم Upbit تفاصيل إضافية حول الخرق أو تحقيقها. تواصل البورصة العمل مع السلطات لتتبع الأموال المسروقة ومنع المزيد من الخسائر.

ظهر المنشور كوريا الجنوبية تحقق في مجموعة لازاروس في اختراق بورصة Upbit بقيمة 30 مليون دولار لأول مرة على CoinCentral.