Группа Лазаря подозревается в краже 30 миллионов USD у Upbit

Источник: CryptoValleyJournal Оригинальное название: Группа Лазарус подозревается в краже 30 миллионов долларов США у Upbit Исходная ссылка: https://cryptovalleyjournal.com/hot-topics/news/lazarus-group-suspected-of-stealing-30-million-usd-from-upbit/ Неприятная группа хакеров Lazarus из Северной Кореи подозревается в краже около 44,5 миллиарда вон (примерно 30,4 миллиона долларов) из Upbit — крупнейшей криптобиржи в Южной Корее.

Биржа сообщила о необычных выводах криптоактивов на базе Solana и немедленно приостановила все депозиты и выводы средств. Согласно южнокорейскому новостному агентству Yonhap, власти готовят выездную проверку в Upbit, так как схема атаки напоминает события 2019 года, когда из биржи было украдено 342 000 ETH (, что на сегодняшний день составляет почти 1 миллиард USD). Южнокорейская полиция уже пришла к выводу в 2024 году, что за этой кражей стояла группа Lazarus. По меньшей мере 24 токена на базе Solana были выведены из скомпрометированного горячего кошелька. Данные в блокчейне показывают, что кошелек, связанный с атакой, уже начал обменивать Solana на USDC и перемещать средства через мосты на Ethereum.

Проверенная тактика: социальная инженерия вместо технической эксплуатации

Подозреваемый метод атаки следует знакомой схеме: вместо того, чтобы атаковать серверы напрямую, хакеры, вероятно, скомпрометировали учетные записи администраторов или выдали себя за администраторов, чтобы авторизовать транзакции. Этот метод социального инжиниринга оказался крайне прибыльным для группы Lazarus.

Текущий случай с Upbit присоединяется к длинной серии высокопрофильных краж криптовалют. В 2025 году северокорейские хакеры украли более 2 миллиардов долларов в криптовалютах — это самый высокий годовой итог, когда-либо зафиксированный. Большая часть этой суммы пришла от кражи в 1,46 миллиарда долларов с определенной торговой платформы в феврале 2025 года. Дополнительные атаки были направлены на LND.fi, WOO X и Seedify.

Взгляд в прошлое раскрывает весь масштаб: Группа Лазаря обвиняется в кражах на сумму от 5 до 6 миллиардов долларов с 2017 по 2025 год. Среди самых зрелищных случаев - взлом моста Ronin в марте 2022 года на сумму 625 миллионов долларов и атака на мост Harmony Horizon в июне 2022 года на сумму 100 миллионов долларов. В обоих случаях ФБР подтвердило участие северокорейской хакерской группы. Более того, злоумышленники систематически использовали микшер Tornado Cash для отмывания денег, переведя более 555 миллионов долларов из этих двух взломов через сервис.

Финансирование государства через киберпреступность: бизнес-модель Северной Кореи

Что отличает эти атаки от типичного киберпреступления, так это их геополитическое измерение. Северокорейское правительство полагается на широкий спектр незаконной деятельности, включая киберпреступность, для получения дохода для своих программ оружия массового уничтожения и ракет. Хакеры, связанные с государством, явно получают задание добывать иностранную валюту незаконными средствами.

Цифры тревожные. Украденные криптовалюты могут составлять до 13 процентов ВВП Северной Кореи. Некоторые оценки предполагают, что более половины бюджета на разработку ракет финансируется через киберпреступность. Отчет Группы мониторинга многосторонних санкций ООН под названием “Нарушение и уклонение КНДР от санкций ООН через кибер- и информационные технологии рабочих” подчеркивает, что злонамеренные кибердеятельности Северной Кореи представляют собой угрозу международной безопасности.

В ноябре 2025 года Министерство финансов США ответило санкциями против восьми физических лиц и двух организаций, причастных к отмыванию доходов от киберпреступлений Северной Кореи. Тем временем тактика группы Lazarus эволюционировала: если ранее атаки часто использовали технические уязвимости в криптоинфраструктуре, то большинство взломов в 2025 году проводились через социальную инженерию. Этот сдвиг значительно усложняет защиту, так как люди остаются самой слабой ссылкой в цепи безопасности.

Доминирование Upbit и вопрос безопасности обменов

Атака наносит удар по самой уязвимой точке криптоэкосистемы Южной Кореи. Согласно южнокорейскому финансовому регулятору FSS, Upbit контролирует 71,6 процента внутреннего объема торговли криптовалютами — обрабатывая 833 триллиона вон (642 миллиарда долларов) в криптотранзакциях только за первые шесть месяцев 2025 года. Некоторые источники даже указывают на долю рынка более 80 процентов. Более 2 миллиардов долларов проходит через платформу каждый день.

Следующий по величине конкурент, Bithumb, достигает лишь 25,8 процента доли рынка. Меньшие биржи, такие как Coinone, Korbit и GOPAX, вместе составляют менее 5 процентов рыночного объема. Эта крайняя концентрация делает Upbit крайне привлекательной целью для хакеров, поддерживаемых государством, и поднимает фундаментальные вопросы о архитектуре безопасности централизованных бирж.

Upbit немедленно отреагировала: оператор Dunamu объявил, что все пострадавшие пользователи будут полностью компенсированы, и временно приостановил транзакции. Но инцидент показывает, насколько хрупкими могут быть даже ведущие платформы на рынке. Всего за два дня до взлома южнокорейский технологический гигант Naver объявил о планах по приобретению Upbit за 10,3 миллиарда долларов - крупнейшее приобретение в истории Южной Кореи. Взлом, вероятно, задержит сделку и усилит процедуры должной осмотрительности.

Регуляторная бессилие против атак, спонсируемых государством

Дело Upbit подчеркивает фундаментальную дилемму. Даже если биржи соответствуют строгим регуляторным требованиям, они остаются уязвимыми для высокопрофессиональных, финансируемых государством атакующих. Киберарсенал Северной Кореи строился на протяжении многих лет и обладает ресурсами, которые far превышают возможности обычных преступников. Пограничное правоохранение достигает своих пределов, сталкиваясь с этими государственно поддерживаемыми операциями. Хотя западные власти могут вводить санкции и уничтожать сети отмывания денег, режим в Пхеньяне остается недосягаемым. Украденные средства проходят через сложные миксерные сервисы и децентрализованные биржи, прежде чем быть конвертированными в фиатные валюты или использованными для закупки оружия.

Для инвесторов и отрасли это имеет конкретные последствия. Хранение крупных крипто-балансов на централизованных биржах связано с риском, который никакое количество регулирования не может полностью устранить. Институциональные решения по хранению с многофункциональными кошельками, аппаратными модулями безопасности и географически распределенными системами холодного хранения становятся стандартом для профессиональных участников рынка.

Следующие шаги для Upbit

Власти Южной Кореи объявили о плановой проверке на Upbit в ближайшие дни. Основное внимание будет уделено тому, как злоумышленники получили доступ к учетным записям администраторов и были ли нарушены внутренние протоколы безопасности. Если будет доказана халатность или недостаточная архитектура безопасности, Upbit грозят значительные штрафы.

Для запланированного приобретения Naver этот хак является неудачей. Некоторые аналитики ожидают, что сделка будет переоценена, и Naver, вероятно, будет добиваться более низкой цены покупки. Если приобретение полностью провалится, это может кардинально изменить финтех-ландшафт Южной Кореи и дать возможность более мелким биржам вернуть долю рынка. На международном уровне это дело, вероятно, увеличит давление на миксеры и приватные монеты. США и ЕС уже объявили о планах ужесточить регулирование инструментов отмывания денег.

Взлом Upbit — это больше, чем просто еще одна запись в длинном списке краж криптовалюты. Он показывает, что киберпреступность, спонсируемая государством, стала серьезной угрозой для индустрии, и что ни регулирование, ни технологии сами по себе не могут предоставить решение. Ответ заключается в сочетании надежных стандартов безопасности, международного сотрудничества правоохранительных органов и фундаментального переосмысления хранения цифровых активов.