Група Лазаря підозрюється у викраденні 30 мільйонів USD з Upbit

Джерело: CryptoValleyJournal Оригінальна назва: Група Лазаря підозрюється у крадіжці 30 мільйонів доларів США з Upbit Оригінальне посилання: https://cryptovalleyjournal.com/hot-topics/news/lazarus-group-suspected-of-stealing-30-million-usd-from-upbit/ Підозрюється, що відома хакерська група Lazarus з Північної Кореї вкрала близько 44,5 мільярда вон ( приблизно 30,4 мільйона доларів ) з Upbit — найбільшої криптобіржі Південної Кореї.

Біржа повідомила про незвичайні виведення криптоактивів на базі Solana і негайно зупинила всі депозити та виведення. За даними південнокорейського інформаційного агентства Yonhap, влада готує виїзну перевірку в Upbit, оскільки схема атаки нагадує ту, що сталася в 2019 році – коли з біржі було вкрадено 342,000 ETH (, які сьогодні вартують майже 1 мільярд USD ). Південнокорейська поліція вже визнала в 2024 році, що за цим злодіянням стояла група Lazarus. Принаймні 24 токени на базі Solana були виведені з зламаного гарячого гаманця. Дані на блокчейні показують, що гаманець, пов'язаний з атакою, вже почав обмінювати Solana на USDC і переміщувати кошти через мости до Ethereum.

Доведена тактика: соціальна інженерія замість технічної експлуатації

Підозрюваний метод атакуючих слідує знайомій схемі: замість прямої атаки на сервери, хакери, ймовірно, скомпрометували облікові записи адміністраторів або видавали себе за адміністраторів, щоб авторизувати транзакції. Цей метод соціальної інженерії виявився надзвичайно прибутковим для групи Lazarus.

Поточний випадок Upbit приєднується до довгого списку високопрофільних крадіжок криптовалюти. У 2025 році північнокорейські хакери вкрали більше 2 мільярдів доларів у криптовалютах — найбільша річна сума, коли-небудь зафіксована. Більша частина цього була отримана в результаті крадіжки в 1,46 мільярда доларів з певної торгової платформи в лютому 2025 року. Додаткові атаки були спрямовані на LND.fi, WOO X та Seedify.

Дивлячись назад, можна побачити повний масштаб: групу Лазаря звинувачують у крадіжках на загальну суму від 5 до 6 мільярдів доларів з 2017 по 2025 роки. Серед найбільш вражаючих випадків - злом моста Ronin у березні 2022 року з залученням 625 мільйонів доларів та атака на міст Harmony Horizon у червні 2022 року на 100 мільйонів доларів. У обох випадках ФБР підтвердило участь північнокорейської групи хакерів. Крім того, злочинці систематично використовували міксер Tornado Cash для відмивання грошей, перекачуючи більше 555 мільйонів доларів з цих двох злочинів через цей сервіс.

Державне фінансування через кіберзлочинність: бізнес-модель Північної Кореї

Чим ці атаки відрізняються від типового кіберзлочину, так це їх геополітичним виміром. Уряд Північної Кореї покладається на широкий спектр незаконних діяльностей, включаючи кіберзлочинність, щоб отримати доходи для своїх програм зброї масового знищення та ракет. Хакери, пов'язані з державою, спеціально отримують завдання здобувати іноземну валюту незаконними засобами.

Цифри тривожать. Вкрадені криптовалюти можуть становити до 13 відсотків ВВП Північної Кореї. Деякі оцінки свідчать, що більше половини бюджету на розробку ракет фінансується через кіберзлочинність. Звіт Команди моніторингу багатосторонніх санкцій ООН, під назвою “Порушення та ухилення КНДР від санкцій ООН через кібер- та інформаційно-технологічні діяльності працівників”, підкреслює, що зловмисні кібердії Північної Кореї становлять загрозу міжнародній безпеці.

У листопаді 2025 року Міністерство фінансів США відреагувало санкціями проти восьми осіб і двох організацій, які були залучені до відмивання коштів з північнокорейської кіберзлочинності. Тим часом тактики групи Lazarus еволюціонували: якщо раніше атаки часто використовували технічні вразливості у криптоінфраструктурі, то більшість зломів у 2025 році проводилися за допомогою соціальної інженерії. Ця зміна значно ускладнює оборону, оскільки люди залишаються найслабшою ланкою в ланцюзі безпеки.

Домінування Upbit та питання безпеки біржі

Атака вражає в найвразливішу точку криптоекосистеми Південної Кореї. За даними південно-корейського фінансового регулятора FSS, Upbit контролює 71,6 відсотка внутрішнього обсягу криптоторгівлі — обробляючи 833 трильйони вон (642 мільярда доларів) у криптотрансакціях лише за перші шість місяців 2025 року. Деякі джерела навіть зазначають частку на ринку понад 80 відсотків. Щодня на платформі змінюється більше 2 мільярдів доларів.

Наступний найбільший конкурент, Bithumb, досягає лише 25,8 відсотка ринкової частки. Менші біржі, такі як Coinone, Korbit і GOPAX, разом вносять менше 5 відсотків ринкового обсягу. Це крайня концентрація робить Upbit дуже привабливою мішенню для хакерів, підтримуваних державою, і піднімає фундаментальні питання щодо архітектури безпеки централізованих бірж.

Upbit відповів негайно: оператор Dunamu оголосив, що всі постраждалі користувачі отримають повну компенсацію, а транзакції тимчасово призупинено. Але інцидент показує, наскільки крихкими можуть бути навіть провідні платформи на ринку. Лише за два дні до зламу південнокорейський технологічний гігант Naver оголосив про плани придбати Upbit за 10,3 мільярда доларів – найбільше придбання в історії Південної Кореї. Злам, ймовірно, затримає угоду і посилить процедури належної перевірки.

Регуляторна безсилля перед державними атаками

Справа Upbit підкреслює основну дилему. Навіть якщо біржі дотримуються суворих нормативних вимог, вони залишаються вразливими до висококваліфікованих, фінансованих державою атакувальників. Кіберзасоби Північної Кореї були створені протягом років і мають ресурси, які значно перевищують можливості звичайних злочинців. Правоохоронні органи в різних країнах досягають своїх меж, стикаючись з цими державними агентами. Хоча західні влади можуть накладати санкції та ліквідовувати мережі відмивання грошей, режим у Пхеньяні залишається недоторканим. Вкрадені кошти проходять через складні міксери та децентралізовані біржі, перш ніж бути конвертованими у фіатні валюти або використаними для закупівлі зброї.

Для інвесторів та індустрії це має конкретні наслідки. Утримання великих крипто залишків на централізованих біржах несе ризик, який жодне регулювання не може повністю усунути. Інституційні рішення зберігання з багатопідписними гаманцями, апаратними модулями безпеки та географічно розподіленими холодними сховищами стають стандартом для професійних учасників ринку.

Наступні кроки для Upbit

Влада Південної Кореї оголосила про проведення перевірки на місці в Upbit найближчими днями. Основна увага буде приділена тому, як зловмисники отримали доступ до адміністративних облікових записів і чи були порушені внутрішні протоколи безпеки. Якщо буде доведено недбалість або неналежну архітектуру безпеки, Upbit загрожують суттєві штрафи.

Для запланованого придбання компанією Naver, цей хак є невдачею. Деякі аналітики очікують, що угоду буде переоцінено, і Naver потенційно буде наполягати на зниженні ціни покупки. Якщо придбання зовсім провалиться, це може кардинально змінити фінансовий ландшафт Південної Кореї та дати можливість меншим біржам відновити свою частку на ринку. На міжнародному рівні цей випадок, імовірно, посилить тиск на сервіси змішування та монети приватності. Сполучені Штати та ЄС вже оголосили про плани посилити регулювання інструментів для відмивання грошей.

Хакерська атака на Upbit - це більше, ніж просто ще один запис у довгому списку крадіжок криптовалюти. Вона показує, що кіберзлочинність, спонсорована державою, стала серйозною загрозою для індустрії, і що ні регулювання, ні технології самі по собі не можуть забезпечити рішення. Відповідь полягає в поєднанні надійних стандартів безпеки, міжнародної співпраці правоохоронних органів та фундаментального переосмислення зберігання цифрових активів.