Переводы затронули сразу несколько токенов. По словам источников, следователи подозревают в атаке группировку Lazarus — связанную с властями Северной Кореи хакерскую команду. Причина таких подозрений — сильное сходство с кражей 2019 года, когда с Upbit было похищено 342 000 ETH.
Оператор биржи, компания Dunamu, пообещал полностью компенсировать потери за счёт собственных активов. Также планируется проведение очной проверки на месте.
Следы той же схемы
Метод атаки практически совпадает со сценарием взлома 2019 года, в рамках которого было украдено активов на сумму около 58 млрд вон. Тогда похищенные средства отмывались через несколько криптобирж — именно такой способ характерен для северокорейских хакеров. Источники в правоохранительных органах называют произошедшее «почерком» Lazarus.
Расследованием занимается подразделение по борьбе с киберпреступностью Национального полицейского агентства. Подробности пока не раскрываются. Разведывательная служба страны также воздержалась от комментариев.
Переход к социальной инженерии
По данным специалистов по кибербезопасности, в последние годы Lazarus всё реже использует сложные вредоносные программы и уязвимости в коде. Взамен группа всё чаще применяет тактику социальной инженерии: крадёт учётные данные, выдаёт себя за сотрудников и получает внутренний доступ к системам.
Подобная схема использовалась и при атаке на биржу Bybit в феврале 2025 года, когда с помощью фишинговых методов было похищено около 1,5 млрд долларов. Масштаб и ликвидность Upbit сделали её привлекательной целью для организованных кибергрупп, которые ищут быстрый доступ к ликвидным цифровым активам. Следователи не исключают, что и в этом случае была скомпрометирована учетная запись с административными правами — это усиливает версию о применении именно человеческого фактора, а не технической уязвимости.
Растущий риск для криптоиндустрии
Если причастность Lazarus подтвердится, это вписывается в более широкую стратегию Северной Кореи по получению цифровых активов с помощью киберпреступлений. Ранее ФБР США уже называло подобные структуры «устойчивыми и продвинутыми угрозами».
Эксперты подчёркивают: сейчас под наибольшим риском находятся не только кошельки и смарт-контракты, но и доступы сотрудников — особенно тех, кто имеет администраторские права. Биржам всё чаще требуется усиленный контроль над идентификацией, внутренними процессами и правами доступа. Ожидается также рост координации между регуляторами и правоохранительными органами, включая отслеживание кошельков, международный обмен данными и расширенную аналитику движения средств.
Этот случай поднимает важный вопрос: способны ли криптобиржи, работающие на принципах открытых финансов, эффективно защищаться от государственно поддерживаемых кибератак, в основе которых лежит не взлом кода, а компрометация личности?