Quellen aus südkoreanischer Regierung und Industrie gaben bekannt, dass Upbit, Südkoreas größte Börse für virtuelle Vermögenswerte, kürzlich einem groß angelegten Hackerangriff ausgesetzt war und rund 45 Milliarden Won (ca. 30,6 Millionen US-Dollar) an Kryptowährungen illegal übertragen wurden. Derzeit wird ein Zusammenhang mit der nordkoreanischen Hackerorganisation „Lazarus“ vermutet. Die zuständigen Behörden planen, eine Vor-Ort-Untersuchung bei Upbit durchzuführen, um die Angriffsmethoden und Verantwortlichen weiter zu ermitteln.
Dunamu, der Betreiber von Upbit, sagte, es habe herausgefunden, dass etwa 44,5 Milliarden Won an Solana-bezogenen Vermögenswerten an nicht autorisierte Wallet-Adressen übertragen wurden, und versprach, den Verlust vollständig mit seinem eigenen Vermögen zu tragen. Zuständige Behörden wiesen darauf hin, dass die Angriffsmethode dem Fall ähnelte, bei dem im Jahr 2019 etwa 58 Milliarden Won Ethereum von Upbit gestohlen wurden. Damals wurde auch vermutet, dass „Lazarus“ dafür verantwortlich sei.
Einige Regierungsbeamte wiesen darauf hin, dass es dieses Mal wahrscheinlicher sei, dass Hacker Administratorkonten gestohlen oder gefälscht und Übertragungsvorgänge als Administratoren eingeleitet hätten, anstatt direkt in den Server einzudringen. Sicherheitsexperten sagten, dass Nordkorea angesichts der Wechselkursspannungen weiterhin Kryptowährungsangriffe nutzt, um Geld zu beschaffen. „Lazarus“ transferiert gestohlene virtuelle Vermögenswerte normalerweise zunächst in Wallets an anderen Börsen und unterbricht dann die Geldverfolgung durch mehrschichtige Transfer- und Geldwäschetechniken.
Einige Analysten gehen davon aus, dass die Entscheidung der Hacker, am Donnerstag anzugreifen, möglicherweise mit einer großen Fusion zusammenhängt, die am Vortag angekündigt wurde: Naver, Südkoreas größter Suchmaschinenbetreiber, gab bekannt, dass seine Tochtergesellschaft Naver Financial Dunamu durch eine Börsentransaktion als hundertprozentige Tochtergesellschaft übernehmen wird. Einige Sicherheitsquellen wiesen darauf hin, dass Hacker oft dazu neigen, sich zu „zeigen“ und sich bewusst dafür entscheiden, Angriffe auf solche hochkarätigen Transaktionsknoten von Unternehmen zu starten, um ihre Präsenz zu erhöhen.
Das im Bericht verbreitete Aktenbild zeigt, dass das Dunamu-Logo auf dem Naver-Hauptquartier in Seongnam im Süden Seouls aufgetaucht ist und die sich vertiefende Kapitalbeziehung zwischen den beiden Unternehmen hervorhebt. Die Ermittlungen der Aufsichtsbehörden laufen noch, unter anderem analysieren sie den Angriffsweg, den Fluss gestohlener Vermögenswerte und den Zusammenhang mit früheren Aktionen von „Lazarus“. Nachfolgende Ergebnisse werden voraussichtlich durch weitere Benachrichtigungen oder zusätzliche Berichte veröffentlicht.