Upbit w 54 minuty stracił ponad 100 mld tokenów. Co wiemy o listopadowym włamaniu? - Security Bez Tabu

Upbit w 54 minuty stracił ponad 100 mld tokenów. Co wiemy o listopadowym włamaniu?

Wprowadzenie do problemu / definicja luki

27 listopada 2025 r. południowokoreańska giełda kryptowalut Upbit doświadczyła szybkiego drenażu środków z gorących portfeli (hot wallets) opartych o ekosystem Solany. Według danych nadzoru finansowego FSS, upublicznionych przez posła Kang Min-kuka, w zaledwie 54 minuty (04:42–05:36 KST) przetransferowano do zewnętrznych adresów ok. 104–106 mld sztuk tokenów o łącznej wartości ~44,5 mld KRW (~30 mln USD).

W skrócie

  • Skala i tempo: ~104,06 mld tokenów w 54 minuty (średnio ~32 mln tokenów/sek.).
  • Największe straty wartościowo: SOL (~18,99 mld KRW), dalej PENGU i TRUMP; wolumenowo dominował memcoin BONK (99,1% liczby tokenów).
  • Reakcja i zgłoszenia: Upbit wstrzymał wpłaty/wypłaty Solany o 05:27, a wszystkie aktywa o 08:55; formalne zgłoszenie do FSS o 10:58 (ponad 6 h od detekcji).
  • Tło regulacyjne: luki prawne utrudniają nałożenie dotkliwych sankcji; rząd rozważa wzmocnienie odpowiedzialności giełd po incydencie.
  • Atrybucja (wstępna): władze rozważają wątek grupy Lazarus (KRLD).

Kontekst / historia / powiązania

Upbit to największa giełda w Korei (ok. 70% rynku). Dzień ataku zbiegł się z ogłoszeniem przejęcia operatora giełdy (Dunamu) przez Naver Financial w transakcji akcyjnej wartej ~10,3 mld USD, co wzmocniło presję reputacyjną na spółkę. Część polityków zasugerowała, że opóźnienie zgłoszenia incydentu mogło mieć związek z konferencją ogłaszającą fuzję.

W 2019 r. Upbit utracił już 342 tys. ETH w ataku na hot wallet. Obecny incydent wpisuje się w długą serię uderzeń w giełdy w regionie, często z przypisywaniem ich grupie Lazarus.

Analiza techniczna / szczegóły luki

Wektor i przebieg: nie ma jeszcze publicznej, pełnej analizy łańcucha kompromitacji. Pewne jest, że transfery dotyczyły ekosystemu Solany i objęły wiele tokenów (SOL, BONK, PENGU, TRUMP i in.). Szybkość i rozproszenie wypływów wskazują na automatyzację i wcześniejsze przygotowanie ścieżek odpływu (pre-staged addresses, skrypty).

Skład aktywów skradzionych:

  • Wolumenowo: ~103,12 mld BONK (99,1% liczby tokenów), ale o niskiej wartości nominalnej.
  • Wartościowo: SOL ~18,99 mld KRW (42,7% wartości), dalej PENGU ~3,85 mld KRW i TRUMP ~2,92 mld KRW.
  • Suma: ~44,5 mld KRW (ok. 30,2 mln USD).

Czas reakcji i ograniczanie szkód:

  • 05:00 – zebranie sztabu kryzysowego (18 min od detekcji),
  • 05:27 – wstrzymanie wpłat/wypłat dla aktywów Solany,
  • 08:55 – stop dla wszystkich aktywów.
    Upbit podkreśla, że >80% aktywów klientów było w cold walletach i giełda pokryła straty z własnych rezerw.

Zgłoszenia do instytucji: pierwszy kontakt z FSS o 10:58, kolejne: KISA 11:57, policja 13:16, FSC 15:00; publiczny komunikat na stronie o 12:33. To okno czasowe stało się osią krytyki.

Praktyczne konsekwencje / ryzyko

  • Ryzyko wtórne dla klientów: phishing i oszustwa podszywające się pod działania „odzyskiwania środków”, wymianę adresów depozytowych czy „weryfikacje KYC”. (Upbit zapowiedział rotację adresów depozytowych po incydencie).
  • Ryzyko systemowe dla płynności rynku KRW-crypto: czasowe wstrzymania wpłat/wypłat i zmiany adresów depozytowych chwilowo obniżają płynność i zawężają dostęp do on/off-rampów, co historycznie przekładało się na szersze spready i spadek udziału rynkowego giełdy. (Wynika to z obserwacji branżowych po podobnych incydentach).
  • Ryzyko regulacyjne: brak jasnych podstaw prawnych dla sankcji po incydentach u dostawców VASP w Korei; rząd deklaruje zaostrzenie odpowiedzialności odszkodowawczej giełd.
  • Ryzyko geopolityczne: jeżeli potwierdzi się udział Lazarusa, spodziewane są wzmożone kontrole AML i monitoring trasowania środków (mixery/bridge’e na Solanie i poza nią).

Rekomendacje operacyjne / co zrobić teraz

Dla zespołów bezpieczeństwa giełd i custodianów:

  1. Segmentacja i ograniczenie uprawnień hot walleti: minimalny float operacyjny; natychmiastowe limity dzienne/na adres; polityki „circuit breaker” po anomalii wolumenu.
  2. Silniejsze klucze i HSM: multisig z niezależnymi domenami zaufania; rotacja kluczy po incydencie i po zmianach personelu; klucze powiernicze w HSM z politykami M-of-N, time-locki.
  3. Monitorowanie w czasie rzeczywistym (L2/L3): detekcja anomalii na łańcuchu (velocity, entropy adresów), automatyczne playbooki izolacji.
  4. Kontrole zmian i „two-person rule”: zwłaszcza dla listy adresów zaufanych i generowania adresów depozytowych.
  5. Table-topy i bug-bounty pod kątem Solany: w tym symulacje szybkich drenaży i ataków na token programy SPL.

Dla użytkowników Upbit i innych giełd:

  • Wygeneruj nowe adresy depozytowe – giełda je rotuje po włamaniu. Nie wysyłaj nic na stare adresy.
  • Włącz 2FA/Passkeys i stosuj unikalne hasła; uważaj na SMS-y/e-maile o „odzyskaniu środków”.
  • Przechowuj długoterminowe środki w cold walletach; hot wallet na bieżące potrzeby.
  • Weryfikuj komunikaty tylko w oficjalnych kanałach (strona/notice giełdy).

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

  • 2019 vs 2025: w obu przypadkach uderzono w hot wallety Upbit, ale w 2025 r. atak był znacznie szybszy i wielo-tokenowy w ekosystemie Solany, co zwiększyło presję detekcji w czasie rzeczywistym. Atrybucja wstępna ponownie kieruje się ku Lazarusowi.
  • Inne giełdy 2025: rynek widział rekordowe kradzieże, ale rzadko o tak dużej liczbie sztuk tokenów w tak krótkim oknie czasowym; przypadek Upbit podkreśla specyfikę ryzyka przy memcoinach (duże wolumeny, niska wartość jednostkowa) i tokenach SPL.

Podsumowanie / kluczowe wnioski

  • Szybkość zabija: 54 minuty wystarczyły na transfer ponad 100 mld sztuk tokenów – playbooki automatycznej izolacji muszą działać w sekundach, nie w godzinach.
  • Hot wallet to nie skarbiec: minimalny float, surowe limity i niezależne sygnatury to konieczność.
  • Transparentność i compliance: linia czasowa zgłoszeń ma znaczenie – opóźnienia generują ryzyko regulacyjne i reputacyjne.
  • Ekosystem Solany wymaga precyzyjnej telemetrii przepływów SPL i automatycznego „rate limiting” wypłat.
  • Użytkownicy: rotacja adresów i higiena operacyjna (2FA, cold storage) są krytyczne.

Źródła / bibliografia

  1. Korea JoongAng Daily: „Upbit lost more than 100 billion crypto coins in less than an hour in November data breach” (linia czasowa, struktura aktywów, zgłoszenia). (Korea Joongang Daily)
  2. KBS World: „Over 100 Billion Coins Stolen in 54 Minutes in Upbit Hack” (dane FSS, kwoty i czasy). (KBS World)
  3. Reuters: „South Korea suspects North Korea behind hack of crypto exchange Upbit – Yonhap” (wstępna atrybucja do Lazarus). (Reuters)
  4. The Korea Times: „Gov’t moves to strengthen crypto exchanges’ liability after Upbit hacking” (kierunek zmian regulacyjnych). (The Korea Times)
  5. CCN: „Upbit Deletes All Deposit Addresses After Hack — Here’s What You Need to Do” (rotacja adresów depozytowych). (CCN.com)