Die südkoreanische Krypto-Börse Upbit wurde am 27. November 2025 gehackt, wobei digitale Vermögenswerte im Wert von etwa 30 Millionen US-Dollar entwendet wurden. Südkoreanische Behörden vermuten nordkoreanische Hackergruppe Lazarus hinter dem Angriff. Upbit hat daraufhin alle Auszahlungen ausgesetzt, um weitere Schäden zu verhindern und Kundengelder zu schützen.
Nach dem Vorfall pausierte Upbit alle Auszahlungen, um die Sicherheit zu gewährleisten. Der Angriff betraf Solana-basierte Token im Wert von 44,5 Milliarden Won (ca. 30,4 Millionen US-Dollar), die von einem kompromittierten Hot Wallet abgezogen wurden.
Zu den betroffenen Token gehörten SOL, USDC, PYTH, RENDER, BONK, JTO, RAY, ORCA und LAYER. Ein Teil der gestohlenen Gelder, LAYER-Token im Wert von 8,18 Millionen US-Dollar, konnte gesichert werden.
Die Vorgehensweise ähnelt dem Angriff von 2019, bei dem 58 Milliarden Won gestohlen wurden. Auch dieser Angriff wird der Lazarus-Gruppe zugeschrieben, die für das Stehlen von Administrator-Zugangsdaten bekannt ist.
Blockchain-Analysten beobachteten, wie die gestohlenen Gelder über sogenannte Mixing-Dienste gewaschen wurden, eine übliche Taktik nordkoreanischer Akteure. Die Lazarus-Gruppe wird für Krypto-Diebstähle in Höhe von 5 bis 6 Milliarden US-Dollar zwischen 2017 und 2025 verantwortlich gemacht.
Die südkoreanische Polizei hat eine formelle Untersuchung eingeleitet. Upbit arbeitet mit Projekten und Behörden zusammen, um weitere Gelder einzufrieren.
Kunden sollen keine persönlichen Verluste erleiden, da die Schäden aus Upbits Rücklagen kompensiert werden sollen. Upbit hat alle Ein- und Auszahlungen pausiert.
Südkoreanische Behörden vermuten, dass die nordkoreanische Hackergruppe Lazarus für den Angriff verantwortlich ist. Dies ist nicht der erste Vorfall dieser Art.
