27 ноября крупнейшая южнокорейская биткоин-биржа Upbit приостановила вывод средств на фоне атаки, в результате которой хакеры похитили активы на $36,8 млн.
28 ноября 2025 | 14:46Апдейт:
Причиной взлома стала уязвимость во внутренней системе, заявили в компании.
Проблема заключалась в программном обеспечении кошельков Upbit — оно генерировало слабые или предсказуемые данные цифровой подписи. Это позволило злоумышленникам математически восстановить приватные ключи определенных кошельков на основе анализа истории транзакций биржи.
По данным местных СМИ, власти также изучают возможную причастность к атаке северокорейской хакерской группировки Lazarus. Официального подтверждения этой информации пока нет.
Инцидент произошел в сети Solana. Примерно в четыре утра по местному времени часть токенов перевели на неизвестный внешний кошелек.
Затронутые активы включают: SOL, 2Z, ACS, BONK, DOOD, DRIFT, HUMA, IO, JTO, JUP, LAYER, ME, MEW, MOODENG, ORCA, PENGU, PYTH, RAY, RENDER, SONIC, SOON, TRUMP, USDC и W.
Источник: X/Lookonchain.
Upbit переместила все токены на защищенные холодные кошельки. Удалось заморозить часть похищенных активов — токенов LAYER на $8,18 млн.
Биржа заявила о сотрудничестве с командами по блокчейн-безопасности и правоохранительными органами для расследования инцидента. Представители платформы подчеркнули, что пользователи получат полную компенсацию убытков за счет резервов компании.
Детали атаки пока не раскрываются.
27 ноября 2025 | 15:50Апдейт:
Аналитик по расследованиям AML/KYС-провайдера «Шард» Дмитрий Пойда отметил, что причиной взлома могли стать компрометация горячего кошелька или инфраструктуры вывода средств биржи.
Менее вероятный сценарий — проблема в логике работы модуля вывода средств в сети Solana. Упоминание Upbit об «экстренной проверке безопасности систем» блокчейна косвенно намекает на такую возможность.
«Эта сеть отличается от других архитектурой транзакций, и ошибки в таких модулях иногда позволяют подменить адрес вывода или обойти проверочные процедуры», — пояснил эксперт.
Фокус злоумышленников на низколиквидные и новые монеты дополнительно подтверждает факт взлома горячего кошелька площадки в сети Solana. По словам Пойда, на таких адресах «обычно не самые ликвидные и не самые крупные токены, которые туда попадают в процессе работы биржи, пока она обслуживает клиентские выводы и депозиты».
Говоря о шансах вернуть все похищенные средства, аналитик подчеркнул, что после привлечения корейской киберполиции, финансовых регуляторов и команды Solana-проектов они «кратно возрастут».
«Upbit — крупнейшая биржа Южной Кореи; такие компании работают в тесном контакте с регуляторами и правоохранительными органами. Это не глобальная анонимная криптоплощадка, а часть формально регулируемой финтех-инфраструктуры страны», — подытожил Пойда.
Слияние
26 ноября ведущий ИТ-конгломерат Южной Кореи Naver Financial объявил о поглощении Dunamu — оператора Upbit. Сумма сделки составила $10,29 млрд. После слияния обе компании сохранят самостоятельность и продолжат работу в рамках своих текущих направлений бизнеса.
По данным источников, на фоне события биржа готовится к IPO.
Акционеры Dunamu смогут обменять свои акции на бумаги Naver Financial по согласованному курсу 1:3,3, после чего Dunamu перейдет под контроль Naver.
Председатель Dunamu Сон Чи Хен и вице-председатель Ким Хен Нен станут крупнейшими стейкхолдерами объединенной структуры, получив совокупную долю в 30%.
Гендиректор оператора биржи О Кен Сок заявлял, что фирмы займутся разработкой собственного стейблкоина, привязанного к южнокорейской воне. Ранее местные СМИ писали, что в декабре Naver запустит кошелек для «стабильных монет» в рамках пилотного проекта в Пусане.
Также сообщалось, что в течение следующих пяти лет Naver и Dunamu инвестируют около $6,8 млрд в создание финансовой инфраструктуры на базе искусственного интеллекта и блокчейна.
Напомним, в ноябре прошлого года власти Южной Кореи обнаружили до 600 000 нарушений KYC у Upbit.