幣託交易所遭駭客入侵 直指兇手是北韓「拉撒路集團」

幣託交易所（BitoPro）5月初被駭客入侵，調查顯示爲北韓駭客組織「拉撒路集團」（Lazarus Group）所爲。(示意圖/Shutterstock)

幣託交易所（BitoPro）19日於官方網站公佈5月初交易所被駭客入侵的調查進度與聲明，幣託表示，經公司內部資安小組與第三方資安公司近一個月的深入調查後，初步排除內部人員涉入，並得知此次資安事件爲北韓駭客組織「拉撒路集團」（Lazarus Group）所爲。該事件已移交刑事單位偵辦與見識中，幣託交易所已第一時間重新檢查，並重建錢包系統。

幣託交易所指出，經團隊合作調查後，依據其2025年6月11日出具之鑑識報告，初步排除內部人員涉入，且本次資安事件之攻擊手法，與過往多起國際重大案件模式相似，包含全球多間銀行SWIFT系統非法轉帳案及國際大型加密貨幣交易所資產盜竊事件，皆爲北韓駭客組織「拉撒路集團」所爲。

駭客透過對一名負責雲端作業的員工進行社交工程攻擊，成功植入木馬程式，繞過、端點防護、防毒及雲端安全偵測等防護系統，並潛伏於該工程師的電腦中，觀察其日常操作行爲，以規避資安人員的例行監控。駭客劫持AWS Session Token繞過多重身份驗證（MFA），在 AWS 環境中透過C2伺服器發送指令，將惡意腳本悄悄移轉至熱錢包主機，伺機發動攻擊。

幣託表示，駭客經過長時間觀察，鎖定平臺進行錢包系統升級與資產移轉作業期間，模擬日常操作行爲發動攻擊。5月9日凌晨 1 時左右，駭客啓動惡意腳本，模擬合法交易，自熱錢包非法轉移加密貨幣。直到錢包水位監控系統偵測到異常併發出警示後，資安團隊即刻啓動應變機制，包含緊急關閉熱錢包系統、更換所有關聯金鑰、隔離並重建受影響系統與終端設備、擴大監控並持續追蹤異常行爲，進一步阻斷駭客行爲。

目前該事件已移交由刑事單位偵辦與鑑識中。平臺於第一時間重新檢查，並重建錢包系統，並於5月19日將熱錢包地址主動提供給鏈上數據追蹤平臺 Arkham，以更新平臺水位等相關數據；截至6月19日，該頁面已更新部分錢包地址，用戶可前往查閱：https://intel.arkm.com/explorer/entity/bitopro

此次資安事件再次凸顯網路攻擊手法不斷精進，幣託認爲，這不僅是對虛擬資產平臺的挑戰，更是臺灣金融、甚至各產業應重視的課題。「我們深知資訊安全是一場永不停止的考驗，未來平臺將持續強化資安技術與管理流程，並積極交流經驗，呼籲業界提高警覺，在變化快速的數位世界中，共同建築安全且穩定的交易環境。」