核心摘要
- 韩国 5 大持牌加密交易所(Upbit、Bithumb、Coinone、Korbit、Gopax)在 2020 年至 2026 年 4 月期间共发生 57 起黑客及系统事故
- 合计补偿金额约 70 亿韩元(约 510 万美元),但 Korbit 与 Gopax 零补偿引发消费者保护关切
- 最大单次事件:2025 年 11 月 Upbit 遭 Lazarus 组织黑客攻击,损失约 445 亿韩元,已冻结 26 亿韩元
- 各交易所事故统计标准不统一——Bithumb 仅统计 10 分钟以上中断,Gopax 将查询错误也计入——削弱了数据可比性
- 执政党议员李宪承迫使金融监督院披露数据,韩国虚拟资产交易所运营合规监管体系面临改革压力
📑 文章目录
- 数据全景:57 起事故的交易所分布 — 六年间五家持牌机构的安全记录
- 重大事故深度分析 — Lazarus 黑客、BTC 误发、戒严日系统崩溃
- 监管漏洞:统计标准不统一与补偿制度缺失 — 韩国《虚拟资产用户保护法》实施前的合规缺口
- 对持牌机构运营合规的启示 — 从韩国经验看交易平台安全治理
本文由 Aiying 艾盈合规团队原创,转载需授权。
2026 年 6 月 7 日,韩国联合通讯社(Yonhap News)披露了一组由执政党国民力量党议员 李宪承(Lee Heon-seung)从金融监督院(FSS)及五大虚拟资产交易所获取的安全事故统计数据:2020 年至 2026 年 4 月期间,Upbit、Bithumb、Coinone、Korbit 与 Gopax 五家持牌交易所累计发生 57 起黑客攻击及系统事故,合计补偿金额约 70 亿韩元(约 510 万美元)(韩联社,2026-06-07)。这是韩国监管机构首次系统性公开持牌交易所的安全事故全貌,为评估韩国虚拟资产市场的运营合规水平提供了关键数据。
数据全景:57 起事故的交易所分布
事故数量与补偿金额的背离
五家交易所的安全记录呈现显著不对称:
| 交易所 | 事故数量 | 补偿金额 | 补偿方式 |
|---|---|---|---|
| Upbit | 26 件 | 约 32.1 亿韩元 | 现金 |
| Bithumb | 14 件 | 约 32 亿韩元 | 现金 + 手续费免费券 |
| Gopax | 8 件 | 0 韩元 | 无 |
| Coinone | 6 件 | 约 4,900 万韩元 | 现金 |
| Korbit | 3 件 | 0 韩元 | 无 |
数据显示出一个值得关注的合规悖论:事故发生最多的两家交易所(Upbit 26 件、Bithumb 14 件)同时也是唯一提供实质性补偿的机构,而 Gopax(8 件)与 Korbit(3 件)在安全事故发生后完全未向用户提供补偿。这种”事故多但善后全”与”事故少但零补偿”的二元格局,反映出韩国虚拟资产市场在消费者保护方面的制度空白。
重大事故深度分析
Upbit 遭 Lazarus 组织攻击(2025 年 11 月)
2025 年 11 月 27 日凌晨,Upbit 热钱包遭疑似朝鲜侦察总局下属 Lazarus 组织攻击,涉及 Solana 系列 24 种代币共计约 140.6 亿枚,价值约 445 亿韩元(约 3,240 万美元)。Upbit 运营公司 Dunamu 在 Naver 合并相关活动结束后才通过官网延迟公开黑客信息,引发透明度争议。截至 2026 年 4 月,已冻结约 26 亿韩元损失资产,直接补偿约 7.9 亿韩元,剩余资产回收仍在进行中。
Bithumb 比特币误发事故(2026 年 2 月)
Bithumb 员工在发放活动奖金时发生单位输入错误:本应支付 62 万韩元的活动奖励,却按实际持有数量错误发送了 62 万个比特币(当时价值远超应付金额)。补偿金额约 25 亿韩元。该事件引发国会政务委员会紧急质询,Bithumb 代表理事李在元承诺将扩大受害者救助范围,但部分系统故障受害者收到的是手续费免费券而非现金,引发补偿公平性质疑。
Upbit 戒严日系统崩溃(2024 年 12 月 3 日)
2024 年 12 月 3 日韩国紧急戒严当日,Upbit 系统大幅拥堵,收到 1,153 件损害申报,补偿金额约 32 亿韩元。该事件暴露了交易所在极端市场条件下的系统韧性不足,且与韩国特有的政治风险高度关联。
监管漏洞:统计标准不统一与补偿制度缺失
统计标准的”巴别塔”效应
李宪承议员调查揭示了一个关键合规盲点:五大交易所的事故统计标准互不统一。Bithumb 仅将全体客户 10 分钟以上无法使用核心服务的事件计入系统事故;而 Gopax 则将资产目录查询错误等轻微技术故障也纳入统计。这意味着 Gopax 的 8 件事故记录与 Bithumb 的 14 件记录在严重程度上并不可比,统一的行业事故分类与披露标准处于完全缺失状态。
补偿制度的”丛林法则”
在缺乏统一监管规范的情况下,五家交易所的补偿策略完全自行决定。Bithumb 部分使用手续费免费券替代现金——这在实质上将消费者损失转嫁为平台收入减免,并未实现真正的资产赔偿。Korbit 与 Gopax 的零补偿记录则提出了一个根本性问题:在《虚拟资产用户保护法》(2024 年 7 月通过)实施后,持牌交易所对系统故障和黑客事件的用户赔偿义务是否可以得到有效执行?
对持牌机构运营合规的启示
韩国经验的全球参考价值
韩国是全球少数拥有完善虚拟资产交易所牌照制度的司法管辖区之一。此次 57 起事故的数据公开,为其他正在建立或完善加密交易平台监管框架的国家(如中国香港、新加坡、欧盟、阿联酋)提供了重要参照:牌照审批不能止步于反洗钱(AML)合规,运营韧性、安全事件报告标准化和消费者补偿机制同样是持牌机构持续性合规审查的核心维度。
金融监督院的制度回应
在李宪承议员的推动下,韩国金融监督院已介入并要求各交易所提交详细资料。市场预期下一步监管动作将包括:统一事故报告与分类标准、建立交易所安全事件准备金制度、以及将补偿执行情况纳入牌照续期的合规审查。这些措施若实施,将显著缩小韩国加密交易市场在消费者保护层面的制度缺口。
常见问题(FAQ)
韩国《虚拟资产用户保护法》是否覆盖交易所系统事故导致的用户损失?
2024 年 7 月通过的《虚拟资产用户保护法》主要聚焦于禁止不公平交易行为和市场操纵,以及对用户资产的隔离保护义务。针对交易所系统故障、黑客攻击等运营安全事件的用户赔偿标准与执行机制,该法案尚未提供明确条款。Korbit 与 Gopax 的零补偿案例恰好暴露了这一法律空白,预计金融监督院后续将通过执行细则或修订案予以补充。
Lazarus 组织对韩国交易所的持续威胁有多大?
Lazarus 组织(隶属于朝鲜侦察总局)被认为是全球最活跃的国家支持黑客组织之一,韩国加密交易所是其优先攻击目标。2025 年 11 月 Upbit 事件涉及的 445 亿韩元损失规模在全球交易所黑客事件中位居前列。对于持牌交易所而言,对国家级网络攻击的防御能力不应该是可选项,而应成为牌照续期审查中的强制性技术门槛。
来源列表:
- 韩联社(Yonhap News)— 한국 5대 가상자산 거래소, 6년간 57건 사고·보상금 70억원대(2026-06-07)
- 吴说区块链 — 韩国 5 大交易所近 6 年黑客及系统事故补偿超 500 万美元(2026-06-07)