一�����、案件概述
2025年11月27日凌晨�����,韩国最大加密货币交易所Upbit遭遇黑客攻击����,其Solana网络热钱包遭“清空式”转移���,约3680万美元(后修正为445亿韩元�����,约3043万美元)的24种代币被盗����。事件发生后����,Upbit迅速暂停存取服务�����,将剩余资产转至冷钱包�����,并承诺全额补偿用户损失�����,同时与执法机构合作冻结部分资金����、追踪流向����。
此次事件引发市场对加密货币交易所安全性的担忧�����,韩国监管部门介入调查����,也再次警示行业需强化安全防护体系�����。对此���,九游世界杯(中国)智能股份新金融安全事业部专家进行了深度分析���。
二�����、事件起因
2025年11月27日韩国时间04:42左右����,Upbit交易所大约540亿韩元(约3680万美元)的solana网络资产被转移到一个未知的外部钱包�����,事发当天����,该交易所宣布全面暂停存取款���。
本次事件受影响的资产包括���:2Z, ACS, BONK, DOOD, DRIFT, HUMA, IO, JTO, JUP, LAYER, ME, MEW, MOODENG, ORCA, PENGU, PYTH, RAY, RENDER, SOL, SONIC, SOON, TRUMP, USDC, W �����。官方通告如下�����。
(https://upbit.com/service_center/notice?id=5800&view=share )
三�����、链上追踪分析
我们通过链上监测分析�����,发现Upbit交易所资产转至165个黑客地址����,资产美元价值超4000万美元����,主要有SOL(28.22%)���、PENGU(10.29%)���、TRUMP(8.1%)���、LAYER(6.59%)����、2Z(5.34%)���。
被盗资产占比分布图
我们对本事件中的资产进行整体追踪分析�����,对各个黑客地址收到的资产价值降序排列���,如下图�����。
我们对本次事件中�����,关联资金最大的黑客地址BwkWsxoK8aLF6gCxr5Waw1HYCrtaXuY4Lt6QHPZfDjxW 进行链上追踪�����,发现其资产转移过程如下���:
1. SOLANA链上兑换转移����。先将盗取的SOLANA链上资产 SOL���、IO (价值约400万美元)分多次转入DFlow 跨链桥兑币平台兑换成约400万USDC并存入关联代币账户7E1wT4REpKv2DHFdj5eR5kLPEmYhGh4QoH43kas6yg8X 中����。这时USDC资产依然是 SOLANA链上的;
2. 资产跨链到以太坊�����。将上一步LONALA链上的USDC分多次转入Allbridge跨链桥兑币平台兑换成以太坊链上的USDT����,并存入0xea0d492d9edaebae809f2941933fb4eebb0a1ee2�����、0x11cb5a5a31f34b97739d742d27a9fa179b4e54d2;
3. 以太坊链上换币沉淀�����。将上一步以太坊链上的 USDT分多次转入跨链桥兑币平台CoW Swap 兑换成以太坊并沉淀在该钱包地址本身�����。截止2025年12月9日���,资金尚未发生已进一步转移�����。
通过对上述两个以太坊地址进行溯源分析�����,我们找到了其中露出的马脚���。
“链上追踪分析”等更多分析内容���,可点击下方附件查看!
附件�����:2025年11月 UPbit 交易所资产安全事件
2025-12-11
