Pe 27 noiembrie 2025, undeva în jurul orei 4 dimineața ora locală, ceva nu a fost în regulă la Upbit. Cel mai mare exchange de criptomonede din Coreea de Sud a observat mișcări ciudate în portofelele Solana, genul de activitate care îți dă fiori pe șira spinării dacă lucrezi în securitate.

Câteva ore mai târziu venea confirmarea oficială: aproape 44,5 miliarde de woni, adică peste 30 de milioane de dolari, zburaseră către niște adrese pe care nimeni nu le recunoștea. E o sumă uriașă, dar și mai îngrijorător e ce a ieșit la iveală după.

Oh Kyung-seok, șeful Dunamu (compania din spatele Upbit), a făcut ceva neobișnuit pentru industria asta: și-a asumat vina. Fără scuze, fără să dea din umeri și să zică că hackerii sunt de vină.

A recunoscut direct că securitatea a fost sub standardele la care ar fi trebuit să fie. Și aici vine partea interesantă, ba chiar neliniștitoare: echipa tehnică a descoperit o vulnerabilitate în felul în care erau generate cheile private. Adică problema era la ei în casă, nu doar un atac venind din exterior.

Ce sunt cheile private și de ce contează atât de mult?

Hai să lămurim treaba asta cu cheile, pentru că e esențială. Când ai un cont la bancă, banca ține evidența banilor tăi și decide cine poate sau nu să îi acceseze. La cripto e altfel. Fiecare portofel are două chei: una publică, pe care o poți da oricui vrea să îți trimită bani, și una privată, care trebuie să rămână secretă. Cine are cheia privată, are banii. Simplu. Brutal, dar simplu.

Teoretic, cheile private sunt imposibil de ghicit. Vorbim de combinații atât de multe încât depășesc numărul atomilor din univers. Pare sigur, nu? Ei bine, toată siguranța asta se bazează pe un singur lucru: calitatea procesului prin care se generează cheile.

Dacă algoritmul are o fisură, dacă componenta aleatorie nu e chiar atât de aleatorie pe cât ar trebui, atunci un atacator priceput poate să reducă dramatic numărul de variante pe care trebuie să le încerce. Și fix asta pare să se fi întâmplat la Upbit.

Problema cu generatoarele de chei

Firma de securitate CertiK a tot bătut alarma anul ăsta despre riscul ca hackerii să poată prezice sau chiar să reconstruiască cheile private pornind de la informații publice de pe blockchain. Sună a science fiction, dar s-a mai întâmplat.

Cazul Profanity e relevant aici: era un generator care permitea oamenilor să își creeze adrese personalizate, cu anumite caractere. Problema? Genera cam 4,3 miliarde de combinații, ceea ce pentru un calculator modern e o nimica toată. Și mai rău, procesul era reversibil. Hack-ul de 160 de milioane de la Wintermute a pornit probabil de la o astfel de slăbiciune.

De ce portofelele hot sunt ținte perfecte?

La Upbit, atacatorii au lovit portofelul hot, cel conectat permanent la internet pentru tranzacții rapide. Exchange-urile mari țin o parte din fonduri în portofele hot pentru că altfel nu ar putea procesa retragerile la timp, iar restul stă în portofele cold, complet offline, unde hackerii nu pot ajunge. E un compromis necesar, dar și riscant. Cu cât ții mai mulți bani în hot wallet pentru a fi operațional, cu atât ești mai expus.

Vestea bună pentru utilizatorii Upbit e că portofelele cold au rămas neatinse, iar compania a promis să acopere toate pierderile din rezervele proprii. Dar rămâne întrebarea: ce se întâmplă dacă data viitoare atacul e și mai mare?

Grupul Lazarus lovește din nou

Autoritățile sud-coreene nu au stat mult pe gânduri când a venit vorba de suspecți. Grupul Lazarus, hackerul de casă al Coreei de Nord, e principalul vizat. Agenția Yonhap raportează că investigatorii compară metodele din acest atac cu cele folosite în trecut de Lazarus.

Și e o coincidență care dă de gândit: atacul a avut loc fix la șase ani după hack-ul din 2019, când tot Upbit a pierdut 342.000 ETH, cam 50 de milioane de dolari la cursul de atunci.

Lazarus nu e un grup oarecare de hackeri. Operează din 2007 și are în spate, după toate indiciile, serviciile de informații nord-coreene. Au început cu atacuri asupra guvernului sud-coreean, apoi au trecut la chestii mai spectaculoase.

În 2014 au spart Sony Pictures pentru că studioul îndrăznise să facă o comedie despre Kim Jong-un. Mesajul era clar: regimul de la Phenian are capacități cibernetice serioase și nu se ferește să le folosească.

Cum au ajuns să fure cripto pentru statul nord-coreean?

Din 2017 încoace, Lazarus s-a reorientat masiv către criptomonede. Motivul e destul de evident dacă te gândești: Coreea de Nord e sufocată de sancțiuni internaționale și nu poate accesa sistemul bancar global. Dar cripto? Poți fura, spăla banii prin servicii de mixing, converti în diverse monede și până la urmă scoți cash prin platforme obscure.

Pentru un regim care are nevoie disperată de valută pentru rachete și arme nucleare, e o sursă de venit la care nu pot renunța.

Cifrele sunt uluitoare. Conform Immunefi, Lazarus a provocat pierderi de peste 300 de milioane de dolari doar în 2023, reprezentând aproape un sfert din toate furturile cripto din acel an. Au luat 625 de milioane de la Ronin Network în 2022, 100 de milioane de la Harmony Horizon Bridge, încă 100 de milioane de la utilizatorii Atomic Wallet, 41 de milioane de la Stake.com.

Și recordul absolut: 1,5 miliarde de dolari furate de la Bybit în februarie 2025. E cel mai mare jaf cripto din istorie și e atribuit tot lor.

Cum reușesc să păcălească oamenii?

Lazarus nu se grăbește niciodată. Spre deosebire de hackerii care scanează internetul după vulnerabilități cunoscute, ei petrec luni de zile studiindu-și țintele. Tactica lor preferată e spear phishing-ul, emailuri personalizate trimise unor oameni specifici. Un raport recent de la AhnLab arată că trimit adesea invitații false la conferințe sau solicitări de interviuri pentru joburi atractive. Totul e construit să pară legitim.

Și mai perfidă e schema cu recrutarea falsă. Creează profiluri credibile pe LinkedIn sau alte platforme, contactează angajați din companiile vizate cu oferte de muncă tentante, îi trec prin interviuri care par reale. La un moment dat, candidatul e rugat să descarce ceva pentru un test tehnic sau să instaleze o aplicație pentru următoarea rundă de discuții.

Aplicația conține malware. Gata, au acces în sistem. Exact așa au spart CoinsPaid în iulie 2023, furând 37 de milioane de dolari. Un singur angajat care a picat în plasă.

Cât s-a furat și cum a răspuns Upbit?

După recalculări, pierderea totală a fost stabilită la 44,5 miliarde de woni, cam 30 de milioane de dolari. Directorul Oh a detaliat situația: circa 26 de milioane reprezentau fonduri ale utilizatorilor, vreo 2,3 miliarde de woni au fost înghețate rapid în colaborare cu diverse proiecte, iar restul de aproximativ 4 milioane erau bani ai companiei. Faptul că au fost transparenți cu cifrele e de apreciat, chiar dacă probabil le-ar fi plăcut să nu fie nevoiți.

Ce anume s-a furat? Un amestec de token-uri Solana: SOL evident, USDC, dar și chestii mai exotice precum BONK, JUP, RAY, RENDER, ORCA, PYTH și, culmea, TRUMP, token-ul meme legat de fostul președinte american. Atacatorii au acționat rapid, convertind o parte din fonduri în USDC și mutându-le pe Ethereum prin bridge-uri, încercând să întrerupă urmărirea banilor. Upbit a reușit totuși să înghețe peste 8 milioane în token-uri LAYER, deci nu totul e pierdut.

Ce urmează pentru utilizatori?

Compania a suspendat depunerile și retragerile pentru Solana imediat ce a detectat problema și a mutat ce a mai rămas în portofele cold. Serviciul Financiar de Supraveghere din Coreea de Sud a trimis inspectori la fața locului, iar verificările continuă până pe 5 decembrie.

Serviciile au început să revină treptat de la 1 decembrie, dar atenție: toate adresele vechi de depunere au fost anulate. Trebuie generate adrese noi, ceea ce e o bătaie de cap, dar măcar e o precauție în plus.

Timing-ul suspect și fuziunea cu Naver

Aici lucrurile devin și mai interesante. Cu fix o zi înainte de atac, Naver Financial anunțase că va cumpăra Dunamu, compania mamă a Upbit, pentru 15,1 trilioane de woni, adică vreo 10,3 miliarde de dolari.

E una dintre cele mai mari tranzacții din tech-ul sud-coreean, programată să se finalizeze în iunie 2026. Coincidență? Un expert în securitate citat de Yonhap crede că nu. Hackerii, zice el, au tendința să vrea să se afișeze, să demonstreze că pot lovi exact când nimeni nu se așteaptă.

Și chiar se potrivește cu ce știm despre Lazarus. Atacul asupra Sony Pictures a fost sincronizat cu premiera filmului The Interview. Hack-ul anterior de la Upbit, cel din 2019, a fost acum fix șase ani. Poate fi coincidență, poate fi o formă ciudată de semnătură. Oricum ar fi, în loc de sărbătoare corporativă, Dunamu s-a trezit în mijlocul unei crize care ar putea afecta termenii fuziunii.

Ce înseamnă asta pentru piața cripto?

Upbit a recunoscut deschis că nu există securitate perfectă. E un lucru pe care industria cripto nu prea vrea să îl audă, dar e adevărat. Chiar și platformele mari, cu bugete serioase pentru securitate, pot fi sparte. Pentru oricine ține bani pe un exchange, lecția e simplă: nu păstra acolo mai mult decât trebuie. Portofelele hardware, alea care stau deconectate de internet, oferă un nivel de protecție pe care nicio platformă online nu îl poate egala.

Pentru exchange-uri, provocarea e să găsească echilibrul între accesibilitate și securitate. Dacă muți totul în cold storage, utilizatorii nu mai pot retrage rapid. Dacă ții prea mult în hot wallet, ești o țintă. Dacă antrenezi angajații împotriva phishing-ului, consumă timp și bani. Dar un singur click greșit poate să coste zeci de milioane. E o ecuație fără soluție perfectă.

Când hackerii sunt un stat

Problema devine și mai complicată când realizezi că nu te lupți cu niște infractori obișnuiți. Grupurile normale de hackeri pot fi descurajate dacă le faci viața prea grea. Dar Coreea de Nord? Pentru ei, furtul de cripto nu e un hobby, e o necesitate. Sancțiunile i-au izolat complet de sistemul financiar mondial, iar banii ăștia finanțează programe militare. Atâta timp cât au nevoie de valută și atâta timp cât funcționează, vor continua să atace.

Asta transformă securitatea cripto într-o chestiune geopolitică. Nu mai e vorba doar de firewall-uri și parole. E vorba de cooperare internațională pentru a urmări și îngheța fondurile, de presiune diplomatică, de capacitatea de a identifica atacatorii rapid. Incidentul de la Upbit arată cât de mult infrastructura financiară digitală a devenit un teren de luptă în conflictele dintre state.

Ce poți face ca să te protejezi?

Pentru utilizatorii obișnuiți, regula de aur rămâne valabilă: dacă nu ai tu cheia privată, nu ai tu banii. Criptomonedele ținute pe exchange-uri sunt, până la urmă, sub controlul acelei platforme. Orice breșă te poate afecta. Dacă ai sume pe care nu vrei să le tranzacționezi zilnic, mută-le pe un portofel hardware. E cea mai bună protecție pe care o poți avea.

Pentru companii, lecția e că auditurile de securitate nu sunt opționale. În special cele care verifică procesele de generare a cheilor. Folosiți generatoare certificate, implementați semnături multiple pentru portofelele importante, separați strict sistemele operaționale de cele de stocare.

Da, costă. Da, e complicat. Dar diferența dintre un atac eșuat și o pierdere de zeci de milioane stă în detaliile astea.

Pentru cei care vor să fie la curent cu știri crypto și cu ce se mai întâmplă în piață, cazul Upbit e un reminder că inovația financiară vine cu riscuri reale. Ce a făcut bine Upbit a fost transparența și asumarea responsabilității. Alte platforme ar trebui să ia notițe.

Atacul ăsta nu va fi ultimul. Natura descentralizată a cripto, sumele uriașe implicate și existența unor actori statali motivați garantează că presiunea va continua. Ce poate evolua e modul în care industria răspunde. Poate că fiecare atac, oricât de dureros, contribuie la construirea unui sistem mai rezistent. Sau poate că doar ne amintește că în lumea asta, vigilența nu e un lux, ci o condiție de supraviețuire.

Anchetele vor scoate probabil la iveală mai multe detalii despre cum s-a întâmplat totul. Rămâne de văzut dacă vulnerabilitatea cheilor private de la Upbit e un caz izolat sau o problemă mai largă care afectează și alte platforme. Deocamdată, cel mai bun sfat e să fii atent și să nu te bazezi orbește pe nimeni cu banii tăi.