Koreańskie kontrole nasilają się w sprawie roli Binance w zamrożeniu środków z włamania na Upbit

Południowokoreańscy regulatorzy i analitycy analizują reakcję Binance na włamanie do Upbit, poszukując lepszych globalnych zabezpieczeń przed szybko przemieszczającymi się kradzieżami kryptowalut.

Binance zamroził tylko część środków z włamania do Upbit

Według śledczych, tylko 17% aktywów oznaczonych do zamrożenia przez Upbit i policję zostało faktycznie zablokowanych, jak doniosły lokalne media w piątek. Ponadto analitycy bezpieczeństwa powiedzieli, że grupa hakerska przeprowadziła złożoną strategię prania pieniędzy rankiem 27 listopada, szybko rozpraszając skradzione aktywa przez ponad tysiąc portfeli.

Atakujący wielokrotnie dzielili środki na mniejsze części i przemieszczali je przez wiele łańcuchów. Polegali również na mostach tokenowych i wymianach, aby zatrzeć swój ślad w łańcuchu. Jednak władze stwierdziły, że większość wypranych aktywów ostatecznie trafiła do portfeli usługowych na Binance, podkreślając kluczową rolę dużych scentralizowanych giełd w reagowaniu na incydenty.

Upbit i policja zażądali natychmiastowego zamrożenia około 470 milionów wonów (około $370,000) w Solana, które potwierdzono, że dotarły do giełdy. Jednakże Binance zamroził tylko 80 milionów wonów (około $75,000), twierdząc, że wymaga dodatkowej weryfikacji przed nałożeniem szerszych ograniczeń na środki.

Ograniczone działanie zostało potwierdzone około północy w dniu incydentu, około 15 godzin po pierwotnym żądaniu. Gdy koreańska stacja KBS zapytała o wąski zakres i opóźnienie w zamrożeniu, Binance odmówił odniesienia się do szczegółów, powołując się na swoją politykę dotyczącą aktywnych dochodzeń. Firma powiedziała jedynie, że "nadal współpracuje z odpowiednimi władzami i partnerami zgodnie z odpowiednimi procedurami", oświadczenie, które pozostawiło wiele szczegółów bez odpowiedzi.

Eksperci Binance wzywają do szybszych, skoordynowanych globalnych mechanizmów zamrażania

To wyjaśnienie nie zadowoliło kilku ekspertów w Korei Południowej. Cho Jae-woo, dyrektor Instytutu Badań Blockchain Uniwersytetu Hansung, argumentował, że szybka interwencja jest niezbędna, aby zminimalizować straty użytkowników w atakach tej skali. Aby zapobiec szkodom wynikającym z hackingu, powiedział, szybkie początkowe zamrożenie jest kluczowe, jednak giełdy często powołują się na ryzyko procesów sądowych jako powód do wahania.

Ponadto Cho zasugerował, że branża powinna rozważyć ustanowienie globalnej gorącej linii awaryjnej między giełdami lub skoordynowanego organu upoważnionego do nakładania natychmiastowych zamrożeń w sytuacjach kryzysowych. W tym kontekście powiedział, że bardziej znormalizowana reakcja zamrożenia binance i podobne protokoły na innych platformach mogłyby znacznie ograniczyć szkody wynikające z przyszłych exploitów cross-chain.

Śledczy twierdzą, że większość skradzionych aktywów została od tego czasu przekonwertowana z Solana na Ethereum. Według ich analizy, ta zmiana miała prawdopodobnie na celu poprawę płynności, biorąc pod uwagę głębsze rynki Ethereum i szerszą dostępność miejsc handlowych dla tego aktywa.

Narzędzia prywatności Railgun i pranie pieniędzy przez łańcuchy

Analitycy łańcuchowi śledzący włamanie do upbit podkreślili wykorzystanie Railgun, systemu inteligentnych kontraktów skoncentrowanego na prywatności. Jeden szeroko udostępniany post zauważył, że "Haker Upbit pierze środki przez Railgun i przeszedł ich 'ZK proof of innocence'" i opisał mechanizm jako zautomatyzowany system, który sprawdza, czy adres należy do dobrego aktora, korzystając z wielu dostawców danych kryminalistycznych.

Jednak ten sam komentarz dodał, że użytkownicy mogą polegać na eksploratorze Railgun, aby weryfikować adresy, ilustrując, jak narzędzia prywatności, dowody o zerowej wiedzy i warstwy zgodności mogą współistnieć w złożony sposób. To powiedziawszy, incydent podkreśla również, jak pranie railgun zk i podobne narzędzia mogą komplikować egzekwowanie prawa, gdy środki szybko przemieszczają się między łańcuchami i mikserami.

Badacze bezpieczeństwa twierdzą, że taktyki hakerów, w tym pranie pieniędzy przez łańcuchy, wymiany tokenów i skoki przez mosty, sprawiły, że terminowe zamrażanie stało się jeszcze bardziej krytyczne. Ponadto argumentują, że bez lepszej koordynacji między głównymi giełdami, śledzenie skradzionych środków Solana po tym, jak trafią do centrów o wysokiej płynności, takich jak Binance lub inne miejsca, pozostanie wyzwaniem.

Przebudowa zimnego przechowywania Upbit po kradzieży 44,5 miliarda wonów

Jak wcześniej informowano, Upbit przenosi prawie wszystkie aktywa klientów do zimnego przechowywania po tym, jak hakerzy ukradli 44,5 miliarda wonów (około $30 milionów) z jego gorącego portfela Solana. Naruszenie wywołało jedną z najsilniejszych odpowiedzi bezpieczeństwa ze strony dużej giełdy, a operator Dunamu przyspieszył kompleksową przebudowę przechowywania.

Dunamu powiedział, że platforma podniesie stosunek zimnych portfeli do 99% i zmniejszy ekspozycję gorących portfeli praktycznie do zera. Co więcej, to znacznie wykracza poza prawny wymóg Korei Południowej, że 80% środków użytkowników musi być przechowywane offline, pozycjonując model Upbit jako jeden z najbardziej konserwatywnych na rynku krajowym.

Giełda już przechowywała 98,33% aktywów w zimnym przechowywaniu na koniec października, najwięcej wśród lokalnych platform. Jednak naruszenie skłoniło zarząd do przejścia jeszcze bliżej w pełni zimnego systemu. W praktyce, to duże przejście upbit na zimne przechowywanie ma na celu drastyczne ograniczenie ilości kryptowalut dostępnych dla atakujących online w dowolnym momencie.

Dochodzenia w sprawie włamania do Upbit, Binance i podejrzenia dotyczące Grupy Lazarus

Tymczasem władze Korei Południowej rozpoczęły formalne dochodzenie w sprawie włamania do giełdy upbit. Lokalne raporty cytowały wczesne oceny wywiadu, które rzekomo łączą włamanie z Grupą Lazarus z Korei Północnej, organizacją cyberprzestępczą już powiązaną z kilkoma dużymi kradzieżami kryptowalut w ostatnich latach.

Jednak urzędnicy nie opublikowali jeszcze ostatecznych dowodów publicznych potwierdzających zarzuty wobec grupy lazarus. Śledczy nadal śledzą przepływy środków na Solana i Ethereum, w tym transfery przez narzędzia prywatności, próbując zbudować pełniejszy obraz operacji i jej ostatecznych beneficjentów.

Podsumowując, incydent Upbit ujawnił krytyczne luki w globalnej koordynacji giełd, od opóźnionych zamrożeń po ograniczone monitorowanie cross-chain. Gdy regulatorzy, giełdy i badacze analizują skutki, rośnie presja na bardziej zwinne międzynarodowe mechanizmy, które mogą zatrzymać skradzione środki w ciągu minut, a nie godzin, gdy nastąpi kolejny atak kryptowalutowy na dużą skalę.