Южная Корея расследует причастность группы Lazarus к взлому биржи Upbit на сумму 30 млн $

TLDR

• Южнокорейские власти подозревают, что северокорейская группа Lazarus организовала взлом Upbit 27 ноября, в результате которого было украдено криптоактивов на сумму 30,4 миллиона долларов.
• Upbit приостановил депозиты и снятия средств после обнаружения несанкционированного вывода токенов Solana из своего горячего кошелька, что стало вторым крупным взломом биржи за шесть лет.
• При взломе 2025 года использовались тактики, схожие с взломом Upbit группой Lazarus в 2019 году, включая компрометацию или имитацию учетных данных администратора, а не прямые атаки на серверы.
• Взлом произошел в тот же день, когда материнская компания Upbit, Dunamu, объявила о слиянии с технологическим гигантом Naver, что привело к спекуляциям о выборе времени.
• Данные блокчейна показывают, что украденные средства были обменены на USDC и переведены в Ethereum с использованием методов смешивания, характерных для операций Lazarus.

Южнокорейские власти расследуют деятельность группы Lazarus как вероятный источник взлома на сумму 30,4 миллиона долларов в Upbit, крупнейшей криптовалютной бирже страны. Взлом произошел 27 ноября, когда биржа обнаружила необычную активность по выводу токенов на базе Solana.

Upbit немедленно приостановил все услуги по депозиту и выводу средств после выявления несанкционированных транзакций. Биржа изначально сообщила о потерях в размере 54 миллиардов корейских вон, или примерно 36,8 миллиона долларов, но позже пересмотрела эту цифру до 44,5 миллиардов вон, или 30,4 миллиона долларов.

Это второй крупный взлом горячего кошелька Upbit за шесть лет. Ранее биржа подверглась взлому в ноябре 2019 года, когда злоумышленники украли 342 000 ETH.

В прошлом году южнокорейская полиция пришла к выводу, что за кражу 2019 года ответственна группа Lazarus. Сходство между двумя атаками вызвало подозрения относительно последнего взлома.

Методы атаки повторяют взлом 2019 года

По данным правительственных чиновников, цитируемых агентством Yonhap News, хакеры, вероятно, скомпрометировали учетные записи администраторов или выдавали себя за администраторов для авторизации переводов. Этот подход повторяет тактику, использованную при атаке 2019 года, а не прямое нацеливание на серверы биржи.

Южнокорейские власти готовят выездную проверку Upbit на основе растущей уверенности в том, что кражу организовала группа Lazarus. Эксперты по безопасности отметили, что Северная Корея сталкивается с постоянной нехваткой иностранной валюты, что может служить потенциальным мотивом для атаки.

Поставщик блокчейн-анализа Dethective отследил украденные средства после взлома. Данные показывают, что кошелек, связанный с хакером, обменял токены Solana на USDC и начал переводить средства в Ethereum.

Злоумышленники использовали методы смешивания для отмывания украденных активов. Эти методы являются известными тактиками, применяемыми группой Lazarus в предыдущих криптокражах.

Выбор времени вызывает вопросы

Взлом произошел в тот же день, когда Naver Financial подтвердила слияние с Dunamu, материнской компанией Upbit. 27 ноября Naver Financial объявила, что интегрирует Dunamu в качестве своей дочерней компании со 100% владением.

Компания заявила, что слияние направлено на обеспечение будущего импульса роста на основе цифровых активов. Совпадение времени взлома с этим крупным корпоративным объявлением породило спекуляции о том, было ли это преднамеренным.

Эксперт по безопасности сообщил Yonhap, что хакеры часто стремятся продемонстрировать свои возможности. Эксперт предположил, что злоумышленники могли специально выбрать 27 ноября, чтобы совпасть с объявлением о слиянии.

Группа Lazarus была связана с многочисленными громкими криптокражами на протяжении многих лет. Группа действует под руководством Северной Кореи и нацелена на биржи по всему миру для получения доходов для режима.

Upbit не предоставил дополнительных деталей о взломе или своем расследовании. Биржа продолжает работать с властями для отслеживания украденных средств и предотвращения дальнейших потерь.

Пост "Южная Корея расследует деятельность группы Lazarus в связи со взломом биржи Upbit на сумму 30 миллионов долларов" впервые появился на CoinCentral.