Koreaans onderzoek intensiveert naar Binance-rol in bevriezing van fondsen na Upbit-hack

Zuid-Koreaanse toezichthouders en analisten ontleden de reactie van Binance op de Upbit-hack terwijl ze zoeken naar betere wereldwijde bescherming tegen snelle cryptodiefstallen.

Binance bevroor slechts een fractie van de Upbit-hackfondsen

Volgens onderzoekers werd slechts 17% van de activa die door Upbit en de politie waren gemarkeerd voor bevriezing daadwerkelijk geblokkeerd, meldden lokale media op vrijdag. Bovendien zeiden beveiligingsanalisten dat de hackersgroep op de ochtend van 27 november een uitgebreide witwassstrategie uitvoerde, waarbij de gestolen activa snel werden verspreid over meer dan duizend wallets.

De aanvallers splitsten de fondsen herhaaldelijk op in kleinere porties en verplaatsten ze via meerdere ketens. Ze maakten ook gebruik van token bridges en swaps om hun spoor op de blockchain te verhullen. Autoriteiten zeiden echter dat de meeste witgewassen activa uiteindelijk terechtkwamen in servicewallets op Binance, wat de cruciale rol van grote gecentraliseerde exchanges bij incidentrespons benadrukt.

Upbit en de politie verzochten om een onmiddellijke bevriezing van ongeveer 470 miljoen won (ongeveer $370.000) aan Solana waarvan bevestigd was dat deze de exchange had bereikt. Dat gezegd hebbende, Binance bevroor slechts 80 miljoen won (ongeveer $75.000), met als argument dat aanvullende verificatie nodig was voordat bredere beperkingen op de fondsen konden worden opgelegd.

De beperkte actie werd rond middernacht op de dag van het incident bevestigd, ongeveer 15 uur na het oorspronkelijke verzoek. Toen de Koreaanse omroep KBS vragen stelde over de beperkte omvang en vertraging van de bevriezing, weigerde Binance specifieke details te verstrekken, verwijzend naar hun beleid inzake lopende onderzoeken. Het bedrijf zei alleen dat het "blijft samenwerken met de relevante autoriteiten en partners in overeenstemming met de juiste procedures," een verklaring die veel details onbeantwoord liet.

Binance-experts roepen op tot snellere, gecoördineerde wereldwijde bevriesmechanismen

Die uitleg heeft verschillende experts in Zuid-Korea niet tevreden gesteld. Cho Jae-woo, directeur van het Blockchain Research Institute van de Hansung Universiteit, betoogde dat snelle interventie essentieel is om gebruikersverliezen bij aanvallen van deze omvang te minimaliseren. Om schade door hacking te voorkomen, zei hij, is een snelle initiële bevriezing van vitaal belang, maar exchanges noemen vaak procesrisico's als reden om te aarzelen.

Bovendien suggereerde Cho dat de industrie zou moeten onderzoeken of er een wereldwijde noodlijn tussen exchanges kan worden opgezet of een gecoördineerd orgaan dat bevoegd is om in crisissituaties onmiddellijke bevriezingen op te leggen. In deze context zei hij dat een meer gestandaardiseerde binance freeze response en vergelijkbare protocollen op andere platforms de schade van toekomstige cross-chain exploits aanzienlijk zouden kunnen beperken.

Onderzoekers zeggen dat de meeste gestolen activa sindsdien zijn omgezet van Solana naar Ethereum. Volgens hun analyse was deze verschuiving waarschijnlijk gericht op het verbeteren van de liquiditeit, gezien de diepere markten van Ethereum en de bredere beschikbaarheid van handelsplatformen voor het activum.

Railgun privacytools en witwassen via verschillende ketens

On-chain analisten die de Upbit-hack volgen, hebben het gebruik van Railgun benadrukt, een op privacy gericht smart contract systeem. Een veel gedeelde post merkte op dat "De Upbit-hacker fondsen witwast via Railgun en hun 'ZK proof of innocence' heeft doorstaan" en beschreef het mechanisme als een geautomatiseerd systeem dat controleert of een adres toebehoort aan een goede actor met behulp van meerdere forensische dataproviders.

Dezelfde commentator voegde echter toe dat gebruikers kunnen vertrouwen op Railgun's explorer om adressen te verifiëren, wat illustreert hoe privacytools, zero-knowledge proofs en compliancelagen op een complexe manier kunnen samengaan. Dat gezegd hebbende, onderstreept het incident ook hoe railgun zk laundering en vergelijkbare tools de handhaving kunnen compliceren wanneer fondsen zich snel tussen ketens en mixers bewegen.

Beveiligingsonderzoekers zeggen dat de tactieken van de hackers, waaronder laundering across chains, token swaps en bridge hops, tijdige bevriezing nog kritischer maakten. Bovendien stellen ze dat zonder betere coördinatie tussen grote exchanges, het traceren van Solana stolen funds tracking nadat ze high-liquidity hubs zoals Binance of andere platforms hebben bereikt, een uitdaging zal blijven.

Upbit's cold storage herziening na diefstal van 44,5 miljard won

Zoals eerder gemeld, verplaatst Upbit bijna alle klantenactiva naar cold storage nadat hackers 44,5 miljard won (ongeveer $30 miljoen) uit zijn Solana hot wallet hebben gestolen. De inbreuk leidde tot een van de sterkste beveiligingsreacties tot nu toe door een grote exchange, waarbij operator Dunamu een uitgebreide herziening van de bewaring versnelde.

Dunamu zei dat het platform zijn cold wallet ratio zal verhogen naar 99% en de hot wallet blootstelling effectief tot nul zal reduceren. Dit gaat bovendien veel verder dan de wettelijke vereiste van Zuid-Korea dat 80% van de gebruikersfondsen offline moet worden opgeslagen, waardoor Upbit's model een van de meest conservatieve op de binnenlandse markt wordt.

De exchange hield eind oktober al 98,33% van de activa in cold storage, het hoogste percentage onder lokale platforms. De inbreuk dwong het management echter om nog dichter bij een volledig cold-based systeem te komen. In praktische termen is deze grote upbit cold storage move ontworpen om de hoeveelheid crypto die op elk moment toegankelijk is voor online aanvallers, drastisch te beperken.

Upbit hack onderzoeken, Binance en Lazarus Group verdenkingen

Ondertussen hebben Zuid-Koreaanse autoriteiten een formeel onderzoek ingesteld naar de upbit exchange hack. Lokale rapporten hebben vroege inlichtingenbeoordelingen geciteerd die de inbraak zouden verbinden met de Lazarus Group van Noord-Korea, een cybercrime-organisatie die al in verband is gebracht met verschillende grote cryptodiefstallen in de afgelopen jaren.

Functionarissen hebben echter nog geen definitief openbaar bewijs vrijgegeven dat de lazarus group allegations ondersteunt. Onderzoekers blijven geldstromen op Solana en Ethereum volgen, inclusief overdrachten via privacytools, terwijl ze proberen een completer beeld te krijgen van de operatie en de uiteindelijke begunstigden.

Samenvattend heeft het Upbit-incident kritieke hiaten in de wereldwijde uitwisselingscoördinatie blootgelegd, van vertraagde bevriezingen tot beperkte cross-chain monitoring. Terwijl toezichthouders, exchanges en onderzoekers de gevolgen bestuderen, neemt de druk toe voor meer wendbare internationale mechanismen die gestolen fondsen in minuten, niet uren, kunnen stoppen wanneer de volgende grootschalige crypto-aanval plaatsvindt.