韩国FSS就Upbit黑客事件启动制裁:法律盲区下的合规追问

韩国FSS就Upbit黑客事件启动制裁:法律盲区下的合规追问

Aiying 艾盈一家专注加密资产合规咨询服务机构,本文为团队原创,转载需授权。

2025年11月27日凌晨,Upbit热钱包被攻破,54分钟内约445亿韩元(约2,960万美元)资产被转移至外部钱包。时隔近8个月、在用户已获得全额赔偿之后,韩国金融监督院(FSS)终于在2026年7月19日向运营商Dunamu发出检查意见书、正式启动制裁程序。唯一的麻烦是:现行《虚拟资产用户保护法》根本没有针对黑客事故的处罚条款。这不只是一次监管行动,更是一场”没有章节的法律中找条款”的制度性实验。

发生了什么:445亿韩元的漏洞与8个月的追责

11月27日:54分钟的攻击

2025年11月27日凌晨5时许,Upbit在Solana系列热钱包中检测到异常提币——约104亿枚基于Solana的代币在一小时内被转移至多个外部地址。事后调查指向私钥泄露,Upbit官方声明中坦承存在”安全管理疏漏”并已完成修复。朝鲜Lazarus Group被舆论广泛怀疑为攻击方,但未获官方确认(吴说区块链, 2026-07-19, 引用韩联社报道)。

受影响资产合计445亿韩元:用户资产386亿韩元(约2,633万美元)、Upbit自有资产59亿韩元。Dunamu的应对分三步——暂停充提、冻结并追回26亿韩元、以自有资金全额赔偿用户386亿韩元损失。CEO吴京锡发布公开道歉,承诺全面改造钱包系统。

延迟通报:6小时的信息真空

攻击在凌晨5点被检测到,但Dunamu直到上午11点才通知FSS。部分国会议员指控这一延迟与Dunamu当天上午完成与Naver Financial的合并有关——如果在交易完成前披露安全事件,监管干预可能打乱合并进程。这6小时的信息真空,让”黑客事件”升级为”公司治理事件”。

7月19日:制裁程序启动

FSS向Dunamu发送的检查意见书是制裁程序的第一步——然后呢?据韩联社报道,监管机构面临的核心困境是:《虚拟资产用户保护法》缺乏直接针对黑客攻击及信息系统事故的处罚条款。最终处罚力度仍未确定(OKX Orbit/韩联社, 2026-07-19)。

为什么重要:一部缺了”安全章节”的用户保护法

立法设计的内伤

2024年7月生效的《虚拟资产用户保护法》被广泛视为亚洲最完整的加密监管框架之一,但其核心逻辑是”反不公平交易”——内幕交易、市场操纵、未公开信息利用——而非”信息系统安全”。FSS可以因为交易所操纵币价而开出罚单,但当黑客直接从热钱包偷走数千万美元时,监管机构反而缺乏直接的法理依据。这不是执法力度问题,是立法覆盖范围的系统性缺口

而Dunamu全额赔偿用户的行为在法律上恰恰”化解”了这部法律最直接的触发条件——用户保护法以”用户损失”为核心,用户已获赔则法律杠杆大打折扣。FSS现在要制裁的不是”用户损失”,而是”安全管理体系的缺陷”——这个角度在法律文本里找不到现成条款。

银行级严格责任的参照系

韩国金融委员会(FSC)并非没有意识到这个缺口。2025年12月,FSC提出修订方案,拟将《电子金融交易法》中适用于银行的“无过错赔偿”机制扩展至加密交易所——即无论平台是否有过错,都必须赔偿用户因黑客或系统故障造成的损失(Cointelegraph, 2025-12-07)。修订还计划将罚款上限从50亿韩元提升至年收入的3%,并要求更严格的IT安全基础设施标准。

这一修法方向的”数据理由”很扎实:韩国五大交易所(Upbit、Bithumb、Coinone、Korbit、Gopax)在2023年至2025年9月间累计发生20次系统故障,影响超900名用户、造成50亿韩元损失(CoinAlertNews, 2025-12-07)。但Upbit一次黑客事件就达445亿韩元——几乎等于之前20次故障总损失的9倍。

Dunamu的多重合规困境

这远不是Dunamu第一次面对监管制裁。此前金融情报分析院(FIU)已因KYC违规(约530万次客户验证缺陷)及未报告可疑交易,对Upbit处以2500万美元罚款及三个月新用户注册禁令(后因行政诉讼被法院暂缓执行)。9名高管同时面临纪律处分。

445亿韩元黑客事件叠加KYC/AML违规,让Upbit的监管环境呈现出”多层同时推进”的复杂局面。每一项制裁都可能触发连锁反应——包括三年一度的营业许可续期审查——而韩国加密市场超过70%的流动性集中在Upbit,任何经营限制都可能产生系统性影响。

怎么看:制度博弈的下半场

  • 法律工具箱的迭代压力:《虚拟资产用户保护法》的”安全盲区”暴露出立法滞后于技术风险的结构性问题。FSC提出的银行级严格责任修法能否在2026年下半年通过,是衡量韩国加密监管成熟度的关键指标。
  • 赔偿不等于免责:Dunamu以自有资产386亿韩元全额赔偿,缓解了公众信任危机。但FSS的制裁指向的是”安全管理系统是否充分”,而非”用户是否得到补偿”。这为行业设定了一个重要先例:掏钱赔偿不能替代制度性问责。
  • 行业信号效应:市场占有率超70%的头部交易所尚且无法避免Solana热钱包单点故障,整个行业的IT安全审计标准都面临重新评估。FSS这场制裁无论最终处罚多轻,其”启动制裁即信号”的意义已经足够清晰。
  • 跨国监管对标:韩国在”法律工具不足”的前提下仍然推进制裁的做法,与欧盟MiCA的交易所安全要求、日本FIEA的IT治理标准、以及香港SFC的虚拟资产交易平台指引形成鲜明对照——不同法域面对同类安全事件时的”工具箱深度”差异,直接影响机构对合规成本的预估模型。

一句话总结

FSS对Upbit黑客事件的制裁,本质上是用一部缺了”安全章节”的法律去回应一场暴露了”安全缺陷”的事故——它要回答的不是”该不该罚”,而是”用什么罚”。而对这个问题的答案,将决定韩国下一部加密立法的起点在哪里。


参考来源:

发表回复