Atak hakerski na Upbit powiązany z Lazarus, podczas gdy Dunamu stoi w obliczu kar FIU i zamrożenia VASP

Podejrzany atak Lazarus opróżnił gorący portfel Upbit na kwotę 44,5 miliarda wonów 27 listopada. Dunamu otrzymało wcześniej w listopadzie karę FIU w wysokości 35,2 miliarda wonów. Fuzja Naver o wartości 10,3 miliarda dolarów oraz plany dotyczące stablecoina KRW są obecnie przedmiotem państwowej kontroli.

Hakerzy opróżnili gorący portfel Upbit na kwotę 44,5 miliarda wonów (około 30 milionów dolarów) 27 listopada. Władze Korei Południowej wszczęły w tej sprawie dochodzenie, wskazując na Lazarus, grupę cyberprzestępczą powiązaną z Koreą Północną.

Według urzędników, metody przypominają schematy naruszenia gorącego portfela Upbit z 2019 roku.
W rezultacie Dunamu, spółka-matka Upbit, została natychmiast poddana inspekcjom FIU i KISA.

Jednocześnie Dunamu zamroziło wszystkie depozyty i wypłaty na Upbit oraz rozpoczęło wewnętrzne kontrole bezpieczeństwa. Firma poinformowała następnie, że współpracuje z firmami analitycznymi w celu śledzenia portfeli i zamrażania aktywów, gdy jest to możliwe.

Luki płynności Allbridge ujawniają ślad ataku na Upbit od Solana do Ethereum

Atakujący Upbit najpierw zamienili 24 tokeny ekosystemu Solana na WSOL i SOL.

Następnie rozproszyli aktywa na 185 portfeli. Kolejnym krokiem było przesłanie SOL na Ethereum przez Allbridge i zamiana na ETH.

Później środki zostały podzielone na 185 adresów cross-chain, a następnie w ciągu kilku godzin na ponad 185 portfeli Ethereum. Ostatecznie atakujący posiadał ponad 1,6 miliona dolarów w ETH z jednej z pierwszych transz konwersji.

Upbit Hack Arbitrage On Allbridge. Source: Trix on X

Na Coinbase, dane tagujące Allbridge oraz zapisy mostu Ethereum pokazały trasy prowadzące do ETH.

Ponieważ zamiany odbywały się w płytkich pulach, transze o wartości 200 000–300 000 dolarów pozostawiały wyraźne, publiczne ślady.
W ten sposób ścieżki od Solana do Ethereum przez WSOL i wrapped SOL były widoczne dla obserwatorów blockchaina.

FIU nakłada rekordową karę na Dunamu, gdy odnowienie licencji VASP utknęło

Dunamu już wcześniej miało trudności z odnowieniem licencji VASP przed naruszeniem Upbit.
Na początku listopada FIU nałożyło na Dunamu karę w wysokości 35,2 miliarda wonów (około 26,5 miliona dolarów) za naruszenia zgodności.

Regulatorzy udokumentowali, że Dunamu pominęło obowiązkową weryfikację klienta 5,3 miliona razy.

Zgłoszono również 3,3 miliona nieautoryzowanych transakcji, które nie zostały zablokowane, oraz 15 niezgłoszonych podejrzanych działań. W konsekwencji FIU nakazało trzymiesięczne częściowe zawieszenie działalności Dunamu.

Dunamu następnie złożyło formalne odwołanie od zawieszenia. Według urzędników FIU, rozprawa w sprawie odwołania Dunamu zaplanowana jest na przyszły tydzień.

Od czasu działań FIU, odnowienia licencji VASP dla wszystkich głównych giełd KRW są zamrożone od ponad roku. Upbit zatem nadal działa na przedłużonej licencji, a nie na odnowionym VASP.

Zgodnie z koreańskimi przepisami, odnowienia VASP zwykle odbywają się w cyklu trzyletnim, ale zegar nie może się zresetować, dopóki sankcje na Dunamu nie zostaną zniesione.

W rezultacie spór między FIU a Dunamu spowodował ogólnorynkową pauzę, wpływając na licencjonowanie VASP i przeglądy zgodności giełd w całej Korei Południowej.

Fuzja Dunamu–Naver o wartości 10,3 mld USD i plan stablecoina KRW pod lupą regulatorów

Naruszenie Upbit dotarło do regulatorów tego samego dnia, w którym Dunamu i Naver ogłosiły fuzję. Fuzja Dunamu–Naver o wartości 10,3 miliarda dolarów została zorganizowana jako transakcja całkowicie akcyjna, z emisją 87,56 miliona nowych akcji Naver.

Podczas konferencji przedstawiciele Dunamu i Naver zapowiedzieli także chęć uruchomienia stablecoina powiązanego z KRW, aby sprostać krajowym potrzebom płatniczym. Przedstawili emisję stablecoina przez przyszły podmiot jako część szerszego planu dla Azji.

Wskazali również na Line Messenger jako kanał dystrybucji dla użytkowników regionalnych po zamknięciu fuzji. Jednak aktywne dochodzenia w sprawie bezpieczeństwa Upbit i naruszeń regulacyjnych Dunamu wywołały sygnały ostrzegawcze dotyczące przeglądu fuzji w południowokoreańskich organach nadzoru finansowego.

Regulatorzy analizują jednocześnie logi kontroli wewnętrznej Upbit, zgodność Dunamu z VASP, telemetrię mostu Ethereum oraz dane o pochodzeniu portfeli Solana.

W ten sposób sprawy Upbit i Dunamu toczą się równolegle. Ponadto propozycja połączonej firmy dotycząca stablecoina KRW zostanie oceniona w świetle wcześniejszych ustaleń FIU, statusu VASP Dunamu oraz dowodów prania środków przez Ethereum i Solana powiązanych z naruszeniem Upbit.

Regulatorzy badają powiązania z Lazarus, gdy zamrożenie VASP Upbit się przedłuża

Agencje południowokoreańskie chcą dowodów w kilku kwestiach. Chcą wiedzieć, czy klucze gorącego portfela Upbit zostały naruszone z zewnątrz, czy też niewłaściwie obsługiwane wewnętrznie.

Mapują również, czy klastry portfeli Lazarus na Ethereum i Solana pokrywają się z 185 portfelami użytymi po opróżnieniu Upbit.

Jeśli się to potwierdzi, naruszenie Upbit może dołączyć do historycznego schematu wielołańcuchowych przypadków prania środków przez Lazarus.

Na przykład wcześniejszy atak na Upbit wymagał około pięciu lat na pełne zamknięcie sprawy, co pokazuje, jak powoli przebiegają takie dochodzenia. W związku z tym władze mogą odwoływać się do tego harmonogramu, podczas gdy Dunamu odwołuje się od sankcji FIU blokujących odnowienia licencji VASP.

Dunamu zadeklarowało, że zwróci użytkownikom potwierdzone straty związane z Upbit. Przedstawiciele południowokoreańskiego FIU oświadczyli, że nie zniesie zamrożenia VASP dotyczącego Upbit i innych giełd KRW, dopóki nie zapadną decyzje prawne w sprawie odwołania Dunamu.

Regulatorzy poinformowali również, że koordynują zespoły śledcze Ethereum i Solana, aby dopasować sygnatury portfeli Upbit do znanych klastrów Lazarus.