Upbit, en førende sydkoreansk kryptovalutabørs, identificerede uautoriserede hævninger, der i alt beløb sig til omkring 54 milliarder KRW ($36 millioner) i Solana-baserede aktiver i torsdags.
Bristen berørte flere tokens, herunder SOL, USDC, BONK, JUP, RAY, RENDER, ORCA og PYTH. De stjålne midler blev sendt til uidentificerede eksterne wallets. Upbit suspenderede straks ind- og udbetalinger for Solana-netværket for at begrænse yderligere tab og beskytte brugernes midler.
Børs reagerer med nødforanstaltninger
I følge Upbits meddelelse ophørte Upbit straks al ind- og udbetalingstjenester for Solana-baserede aktiver. Børsen påbegyndte nødinspektioner for at vurdere skaderne og styrke sikkerheden. Flere hastemeldinger blev lagt ud på Upbit kundecenter mellem den 26. og 27. november 2025, med dokumentation af hver fase af deres hurtige respons.
Bristen påvirkede en bred vifte af Solana-økosystem tokens. Ud over SOL og USDC blev hændelsen også indflydelsesrig for populære DeFi- og meme tokens, herunder BONK, Jupiter (JUP), Raydium (RAY), Render (RENDER), Orca (ORCA) og Pyth Network (PYTH). Omfanget antyder, at angriberne rettede sig mod Upbits hot wallet-infrastruktur, som håndterer aktiv handel og udbetalinger.
Upbit suspenderede straks alle ind- og udbetalingstjenester om morgenen efter at have opdaget unormal hævningsaktivitet og påbegyndte en nødinspektion. Virksomheden offentliggjorde også alle wallet-adresser involveret i “uregelmæssig udstrømning”.
Sikkerhedseksperter, der overvågede bristen, bekræftede, at Upbit suspenderede Solana token-tjenester for at beskytte brugernes aktiver. Børsen tog hurtige skridt for at forhindre yderligere tab, mens de retsmedicinske teams undersøgte. Men hændelsen vakte bekymring om sårbarheder inden for hot wallet-systemer, der forbliver forbundet for drift.
Party-spoiler ødelægger Dunamu-Naver fusion fejring
Hændelsen fandt sted samme dag, som Dunamu, operatøren af Upbit, annoncerede en plan for at opnå global markedsledelse gennem AI- og Web3-baseret samarbejde med Naver, Sydkoreas største portalvirksomhed. Naver og Dunamu, sammen med Naver Financial, planlægger at investere 10 billioner won over de næste fem år for at fremme det indenlandske AI- og Web3-teknologiekosystem.
Tabet på 54 milliarder KRW, omtrent $36 millioner, placerer Upbit bristen blandt årets største for børser. Ikke desto mindre forbliver det mindre end flere af branchens historiske hacks. De fleste tab involverede Solana-netværksaktiver, hvilket peger på et målrettet angreb snarere end en cross-chain hændelse.
Virksomheden udtalte: “Vi har identificeret det præcise beløb af digitale aktiver, der blev lækket, og vi vil fuldt ud dække tabet med Upbits egne aktiver, så kunderne ikke bliver påvirket på nogen måde.”
Seks år efter det sidste Upbit-hack
Det er ikke første gang, Upbit er blevet hacket. I november 2019 stjal hackere 342,000 ETH fra den sydkoreanske børs. Bristen forårsagede et tab på cirka 58 milliarder won, eller omtrent $50 millioner på det tidspunkt. Det beløb udgør nu cirka $1.04 milliarder.
Fem år senere, i november sidste år, bekræftede koreansk politi officielt, at gerningsmændene var de påståede nordkoreanske hackgrupper Lazarus og Andariel. Ifølge National Office of Investigation blev konklusionen baseret på beviser som brug af nordkoreanske IP-adresser og nordkoreansk specifik terminologi (herunder sætninger brugt til trivielle opgaver), samt data opnået i samarbejde med US Federal Bureau of Investigation (FBI).
Af den stjålne Ethereum konverterede hackerne 57% til Bitcoin gennem tre kryptovalutabørser, de selv havde designet, og indkasserede straks overskuddet. Hackerne hvidvaskede de resterende 43% gennem 51 børser i 13 lande. Disse lande inkluderede Kina, USA, Hongkong og Schweiz.
I oktober 2024 søgte koreanske myndigheder samarbejde fra schweiziske retsmyndigheder og fik tilbage 4.8 BTC, som de returnerede til Upbit. Men de resterende lande og børser nægter angiveligt at samarbejde.
