Подозреваемая атака Lazarus опустошила горячий кошелек Upbit на 44,5 миллиарда вон 27 ноября. Dunamu ранее в ноябре получила штраф FIU в размере 35,2 миллиарда вон. Слияние Naver на 10,3 миллиарда долларов и планы по выпуску стейблкоина в KRW теперь находятся на рассмотрении государства.
Хакеры вывели из горячего кошелька Upbit 44,5 миллиарда вон (около 30 миллионов долларов) 27 ноября. Власти Южной Кореи открыли дело, указывая на Lazarus — кибергруппу, связанную с Северной Кореей.
По словам официальных лиц, методы напоминают схему компрометации горячего кошелька Upbit в 2019 году.
В результате Dunamu, материнская компания Upbit, подверглась немедленным проверкам FIU и KISA.
Одновременно Dunamu заморозила все депозиты и выводы на Upbit и начала внутренние проверки безопасности. Компания также заявила, что сотрудничает с аналитическими фирмами для отслеживания кошельков и заморозки активов, когда это возможно.
Дефицит ликвидности Allbridge выявил след Solana–Ethereum в хаке Upbit
Злоумышленники Upbit сначала обменяли 24 токена экосистемы Solana на WSOL и SOL.
Затем они распределили активы по 185 кошелькам. Далее они перебросили SOL на Ethereum через Allbridge и обменяли на ETH.
После этого средства были разделены на 185 кроссчейн-адресов, а затем — на более чем 185 кошельков Ethereum в течение нескольких часов. В итоге злоумышленник удерживал более 1,6 миллиона долларов в ETH из одной из первых партий конвертаций.
Upbit Hack Arbitrage On Allbridge. Source: Trix on X
На Coinbase, данные тегирования Allbridge и записи моста Ethereum показали маршруты, ведущие к ETH.
Поскольку обмены проходили через малоликвидные пулы, транзакции на 200 000–300 000 долларов оставили четкие, публичные следы.
Таким образом, маршруты Solana–Ethereum через WSOL и обернутый SOL были видны блокчейн-трекерам.
FIU оштрафовала Dunamu на рекордную сумму, пока продление VASP застопорилось
Еще до инцидента с Upbit Dunamu испытывала трудности с продлением лицензии VASP.
В начале ноября FIU оштрафовала Dunamu на 35,2 миллиарда вон (около 26,5 миллиона долларов) за нарушения требований комплаенса.
Регуляторы зафиксировали, что Dunamu пропустила обязательную проверку клиентов 5,3 миллиона раз.
Также было зафиксировано 3,3 миллиона не заблокированных несанкционированных транзакций и 15 неотчетных подозрительных операций. В результате FIU наложила на Dunamu частичное приостановление деятельности сроком на три месяца.
После этого Dunamu подала официальную апелляцию на приостановление. Судебное разбирательство по апелляции Dunamu назначено на следующую неделю, подтвердили представители FIU.
С момента действий FIU продления VASP для всех крупных бирж KRW были заморожены более года. Таким образом, Upbit продолжает работать по продленной лицензии, а не по обновленной VASP.
По корейским правилам, продление VASP обычно происходит каждые три года, но отсчет не может начаться, пока санкции против Dunamu не будут сняты.
В результате спор между FIU и Dunamu вызвал рыночную паузу, затронувшую лицензирование VASP и проверки комплаенса бирж по всей Южной Корее.
Слияние Dunamu–Naver на $10,3 млрд и план по стейблкоину в KRW под пристальным вниманием регуляторов
Инцидент с Upbit стал известен регуляторам в тот же день, когда Dunamu и Naver объявили о слиянии. Слияние Dunamu–Naver на 10,3 миллиарда долларов было структурировано как сделка по обмену акциями, предусматривающая выпуск 87,56 миллиона новых акций Naver.
На конференции представители Dunamu и Naver также заявили, что хотят запустить стейблкоин, обеспеченный KRW, чтобы удовлетворить внутренние платежные потребности. Они представили выпуск стейблкоина будущей компанией как часть более широкой азиатской стратегии.
Также они указали на Line Messenger как на канал распространения для региональных пользователей после завершения слияния. Однако активные расследования по вопросам безопасности Upbit и нарушениям регуляторных требований Dunamu вызвали дополнительные проверки слияния в финансовых надзорных органах Южной Кореи.
Регуляторы анализируют внутренние журналы контроля Upbit, комплаенс Dunamu по VASP, телеметрию мостов Ethereum и данные о происхождении кошельков Solana.
Таким образом, дела Upbit и Dunamu теперь рассматриваются параллельно. Кроме того, предложение объединенной компании по выпуску стейблкоина в KRW будет рассмотрено с учетом предыдущих выводов FIU, статуса VASP Dunamu, а также доказательств отмывания средств через Ethereum и Solana, связанных с инцидентом Upbit.
Регуляторы расследуют связи с Lazarus, пока заморозка VASP Upbit продолжается
Южнокорейские ведомства требуют доказательств по нескольким вопросам. Они хотят выяснить, были ли ключи горячего кошелька Upbit скомпрометированы извне или неправильно использованы внутри компании.
Также они анализируют, пересекаются ли кластеры кошельков Lazarus в Ethereum и Solana с 185 кошельками, использованными после вывода средств из Upbit.
Если это подтвердится, инцидент с Upbit может пополнить исторический список многоцепочечных схем отмывания средств Lazarus.
Например, расследование предыдущей атаки на Upbit заняло около пяти лет, что показывает, насколько медленно могут развиваться такие дела. Поэтому власти могут учитывать этот временной промежуток, пока Dunamu оспаривает санкции FIU, блокирующие продление лицензии VASP.
Dunamu заявила, что возместит пользователям подтвержденные убытки, связанные с Upbit. Представители FIU Южной Кореи заявили, что не снимут заморозку VASP, затрагивающую Upbit и другие биржи KRW, до окончания судебных решений по апелляции Dunamu.
Регуляторы также сообщили, что координируют работу команд по анализу Ethereum и Solana для сопоставления подписей кошельков Upbit с известными кластерами Lazarus.
Editor at Kriptoworld
Tatevik Avetisyan — редактор Kriptoworld, освещающий новые тренды в криптовалютах, инновации блокчейна и развитие альткоинов. Она стремится делать сложные истории понятными для мировой аудитории и делает цифровые финансы более доступными.
📅 Опубликовано: 28 ноября 2025 • 🕓 Последнее обновление: 28 ноября 2025
