Крупнейшая южнокорейская криптобиржа Upbit потеряла активы на сумму 44,5 млрд вон в результате кибератаки. Местные правоохранительные органы и профильные ведомства рассматривают версию причастности северокорейской хакерской группы Lazarus как основную. Инцидент произошел в момент объявления о стратегическом слиянии оператора площадки с финтех-подразделением IT-гиганта.
Возвращение старых методов
Злоумышленники атаковали горячие кошельки платформы, подключенные к интернету. Следователи отмечают, что метод взлома практически идентичен сценарию 2019 года — шесть лет назад биржа уже лишилась 58 млрд вон в эфире из-за уязвимости в системе хранения.
Представители властей исключают прямой взлом серверов. Приоритетная версия следствия указывает на компрометацию учетной записи администратора либо успешную имитацию его действий для подтверждения транзакций. Поскольку схема полностью повторяет инцидент шестилетней давности, подозрения сразу пали на то же подразделение Генерального бюро разведки КНДР.
Следы ведут на север
Анализ движения средств после кражи подтверждает версию о причастности Пхеньяна. Похищенные активы немедленно прошли через процедуру «хоппинга» — быстрого перемещения между различными кошельками, после чего отправились в миксеры для запутывания следов.
Страны, соблюдающие стандарты FATF, технически блокируют возможность миксинга, что делает такие операции невозможными в легальном поле. Использование инструментов для отмывания денег остается визитной карточкой северокорейских киберпреступников, которые таким образом обходят международные санкции.
Демонстративная атака
Выбор времени для удара эксперты не считают случайным. Взлом произошел 27 ноября, в день совместной пресс-конференции оператора биржи Dunamu и компании Naver Financial, где партнеры объявили о планах интеграции. Специалисты по кибербезопасности усматривают в этом психологический мотив. Хакерам часто свойственно тщеславие, и атака в день крупного корпоративного события могла стать способом продемонстрировать уязвимость системы в момент ее триумфа.
Сейчас в офисах компании работают инспекторы Финансовой службы и Агентства по интернету и безопасности (KISA). Проверка проводится с учетом принятых в прошлом году норм, которые приравнивают данные о транзакциях на криптобиржах к кредитной информации, требующей особого уровня защиты.
Читайте также:
- Северокорейские хакеры украли свыше $2 млрд в криптовалюте в 2025 году – Elliptic
- ZachXBT выявил 25+ атак с участием хакеров из КНДР под видом сотрудников криптокомпаний
- Из кошельков SBI Crypto вывели $21 млн и зачислили на Tornado Cash — ZachXBT
Данный пост носит исключительно информационный характер и не является рекламой или инвестиционным советом. Пожалуйста, проводите собственное исследование, принимая какие-либо решения.