Upbit 交易所被盗有可能是存储热钱包私钥的服务器受到攻击导致私钥被盗，或是交易签名服务器受到攻击。

原文标题：《Upbit 交易所大额 ETH 被盗事件详细分析》
作者：成都链安

今日 12:06 分，成都链安态势感知系统 Beosin-Eagle eye 检测到以太坊 Upbit 交易所热钱包地址向未知地址通过一笔交易转移超过 34 万 ETH。

黑客转移 342000ETH 之后，该地址当时仅剩下 111.3ETH, 几近掏空。

随后，官方发布公告对外称：

有 34.2 万个以太坊 被盗，已转移至一个未知的以太坊地址（0xa098...029），总价值约 5000 万美元。此前据 WhaleAlert 监测的链上数据显示，韩国加密货币交易所 Upbit 频繁转出大额加密货币，包括 SNT、EOS、OMG、XLM、TRX、ETH 等，总价值超过 1 亿美元，接受资金方部分被打上了 Bittrex 交易所的标签，还有部分为未知钱包。此前韩国媒体 Naver 报道，Upbit 疑似被黑客攻击。Upbit 官方发布公告称，交易所的充值和提现功能暂停使用。

紧接着，成都链安安全团队对整个代币转移的交易时间线进行了完整复盘：

北京时间 11 月 27 日 13 时 18 分，Upbit 波场地址 TDU1uJ 向 TA9FnQrL 开头的地址分批次转移 TRON 币，共计转移超过 11.6 亿枚 TRON 币，2100 万枚 BTT。

北京时间 11 月 27 日 13 时 02 分，8628959 枚 EOS 从 Upbit EOS 钱包地址转至 Bittrex 交易所；

北京时间 11 月 27 日 1 点 55 分左右，超过 1.52 亿枚 XLM 从 Upbit 交易所转移至 Bittrex 交易所。

通过我们的进一步分析认为：EOS，XLM，TRON 代币的转移很有可能是交易所触发风控机制而进行的避险操作，并且有资料显示 Upbit 和 bittrex 为合作关系，因此，大额 EOS 和 XLM 转入 Bittrex 交易所的操作可能是 Bittrex 协助规避风险。

随后，北京时间下午 4 点 56 分，Upbit 官方 Doo-myeon 首席执行官 Lee Sek-woo 发通告表明，官方已经暂停加密货币充提服务，并紧急排查原因，并表明 Upbit 将会全额承担损失。

至此，Upbit 整个代币转移过程已经清晰，针对此次 ETH 被盗事件，成都链安安全团队进行了如下分析判断：

UpBit 交易所被盗有可能是存储热钱包私钥的服务器受到攻击导致私钥被盗，或者是交易签名服务器受到攻击，而不是控制热钱包 API 转账的服务器被黑。

从转账的交易（hash 为 0xa09871A******43c029) 来看，该黑客或团伙是一次性转走当时账户里所有的钱，并没有做多余的操作，后续又有用户充值大约 4700 左右的 eth 进 UpBit 交易所，现交易所已将该笔资产转移至交易所控制的地址 0x267F7*******0a8E319c72CEff5。

从目前已知的情况看，UpBit 交易所可能遭到鱼叉钓鱼邮件、水坑等攻击手法，获取到交易所内部员工甚至高管的 PC 权限后实施的进一步攻击。并且有消息报道曾有朝鲜黑客于 5 月 28 日使用网络钓鱼手法通过电子邮件向 Upbit 交易所用户发送钓鱼邮件进行网络攻击。

在此成都链安提醒广大项目方：

1、应做好私钥的储存，来源不明、目的不明的邮件尽可能不要点击；
2、员工个人 PC 安装主流的杀毒软件，加强内部员工的安全意识培训，建议找可靠的第三方安全公司进行内网防护加固。
3、对于私钥储存服务器建议分派专人运维。

可以采取有效的防护措施：

1、重写服务器的命令，比如黑客常用的 history、cat 等命令，并开发脚本进行持续监控，如果有运行敏感的命令推送提醒，运维人员只需要维护重写命令后的新命令即可。
2、完善本身的资金风控系统，及时进行报警，和交易阻断，防止大额损失。