Zdroj: Chainalysis; zpracoval: Tao Zhu, Jinse Finance

Kryptoměnové hackerské útoky zůstávají trvalou hrozbou, s více než 10 miliardami dolarů ukradenými v průběhu čtyř let v posledním desetiletí (2018, 2021, 2022 a 2023). Rok 2024 je pátým rokem, kdy bylo dosaženo této znepokojující hranice, což zdůrazňuje, že s přijetím kryptoměn a nárůstem cen se zvyšuje i částka, která může být ukradena.

V roce 2024 vzrostla ukradená částka meziročně o přibližně 21,07 %, dosahující 2,2 miliardy dolarů, přičemž počet jednotlivých hackerských incidentů vzrostl z 282 v roce 2023 na 303 v roce 2024.

minJ6AdbAzIr93rtphMGqfnqFH86fvC2kCYLrsn4.jpegZajímavé je, že intenzita hackerských útoků na kryptoměny se v první polovině tohoto roku změnila. V naší aktualizaci zločinnosti na polovině roku jsme zaznamenali, že kumulativní hodnota ukradená v období od ledna 2024 do července 2024 již dosáhla 1,58 miliardy dolarů, což je přibližně o 84,4 % více než ukradená hodnota ve stejném období v roce 2023. Jak vidíme na následujícím grafu, do konce července se ekosystém snadno dostal na správnou cestu, a tento rok může být srovnatelný s více než 3 miliardami dolarů v letech 2021 a 2022. Nicméně trend vzestupu ukradených kryptoměn v roce 2024 se po červenci výrazně zpomalil a poté zůstal relativně stabilní. Později prozkoumáme potenciální geopolitické důvody této změny.

m3V7NqXp1UDZ6WkHp9QAZKYrHSDP5A5vYpEtnXY8.jpeg

Pokud se podíváme na ukradené částky podle typu platformy oběti, objevují se v roce 2024 také zajímavé vzory. Většina čtvrtletí od roku 2021 do roku 2023 byla decentralizovaná finanční (DeFi) platforma hlavním cílem kryptoměnových hackerů. DeFi platformy mohou být snadněji napadeny, protože jejich vývojáři obvykle upřednostňují rychlý růst a uvedení produktů na trh před implementací bezpečnostních opatření, což je činí hlavním cílem hackerů.

I když v prvním čtvrtletí roku 2024 DeFi stále představovalo největší podíl ukradených aktiv, centralizované služby se staly nejvíce cílenými ve druhém a třetím čtvrtletí. Některé z nejznámějších hackerských útoků na centralizované služby zahrnují DMM Bitcoin (květen 2024; 305 milionů dolarů) a WazirX (červenec 2024; 234,9 milionu dolarů).

UnPkZQOqMsaIPIdikcioDAPDZh6wGxeiiPrNxIbt.jpeg

Tento posun zaměření z DeFi na centralizované služby zdůrazňuje rostoucí význam bezpečnostních mechanismů běžně používaných hackery (např. soukromých klíčů). V roce 2024 představovaly úniky soukromých klíčů největší podíl na ukradených kryptoměnách, dosahující 43,8 %. Pro centralizované služby je zásadní zajištění bezpečnosti soukromých klíčů, protože ty kontrolují přístup k uživatelským aktivům. Vzhledem k tomu, že centralizované burzy spravují obrovské množství uživatelských prostředků, únik soukromých klíčů může mít devastující následky; stačí se podívat na hackerský incident DMM Bitcoin v hodnotě 305 milionů dolarů, což byl dosud největší únik kryptoměn, který mohl nastat kvůli špatnému managementu soukromých klíčů nebo nedostatku odpovídající bezpečnosti.

fQW0bbhcN6KcIiLeq9ytIC4gRRgKKXzX0njBC99k.jpeg

Po úniku soukromého klíče obvykle zlí aktéři vyplácejí ukradené prostředky prostřednictvím decentralizovaných burz (DEX), těžebních služeb nebo míchacích služeb, čímž zaměňují transakční stopy a ztěžují sledování. Do roku 2024 můžeme vidět, že praní peněz hackerů zaměřených na soukromé klíče se velmi liší od praní peněz hackerů, kteří využívají jiné útočné prostředky. Například po ukradení soukromého klíče se tito hackeři často obracejí na míchací a mostní služby. Pro ostatní útočné prostředky se decentralizované burzy častěji používají pro praní peněz.

3Wuj4og3n1ht93TESVzy9ouLFuzwJJXMLVN8axQQ.jpeg

V roce 2024 ukradnou severokorejští hackeři z kryptoměnových platforem více než kdy jindy.

Hackeři spojené se Severní Koreou jsou známí svými složitými a nemilosrdnými metodami; často využívají pokročilý malware, sociální inženýrství a krádeže kryptoměn k financování státem podporovaných akcí a obcházení mezinárodních sankcí. Američtí a mezinárodní úředníci hodnotí, že Pchjongjang využívá ukradené kryptoměny k financování svých programů zbraní hromadného ničení a balistických raket, což ohrožuje mezinárodní bezpečnost. Do roku 2023 hackeři spojené se Severní Koreou ukradli přibližně 660,5 milionu dolarů prostřednictvím 20 incidentů; do roku 2024 vzrostla tato částka na 1,34 miliardy dolarů ve 47 incidentech, což představuje nárůst ukradené hodnoty o 102,88 %. Tyto čísla představují 61 % celkové ukradené částky v daném roce a 20 % celkového počtu incidentů.

Vezměte prosím na vědomí, že v loňské zprávě jsme uvedli, že Severní Korea ukradla 1 miliardu dolarů prostřednictvím 20 hackerských útoků. Po dalším vyšetřování jsme zjistili, že některé velké hackerské útoky dříve přisuzované Severní Koreji již nemohou být považovány za relevantní, a částka se snížila na 660,5 milionu dolarů. Počet incidentů však zůstává stejný, protože jsme objevili další menší hackerské útoky přisuzované Severní Koreji. Jakmile získáme nové důkazy na blockchainu a mimo něj, naším cílem je neustále přehodnocovat naše hodnocení hackerských incidentů souvisejících se Severní Koreou.

6PwlHopjIh3YQGfHDiYFxa3Lwi6LHwocT4PPyJdd.jpeg

Bohužel se zdá, že kryptoměnové útoky ze Severní Koreje se stávají stále častějšími. Na následujícím grafu zkoumáme průměrný čas mezi úspěšnými útoky DPRK na základě rozsahu zneužití a zjišťujeme, že frekvence útoků různých měřítek klesá na meziroční bázi. Je zajímavé, že v roce 2024 se frekvence útoků v hodnotě 50 až 100 milionů dolarů a nad 100 milionů dolarů výrazně zvýšila ve srovnání s rokem 2023, což naznačuje, že Severní Korea se v oblasti masivních útoků zlepšila a zrychlila. To vytváří ostrý kontrast s předchozími dvěma lety, kdy jejich zisky z každého útoku často klesaly pod 50 milionů dolarů.

M9NrVEr7Bmr9lBpkmS9bHlVwo0OsSsiBhOMr27Ot.jpeg

Při porovnávání aktivit Severní Koreje s veškerou další monitorovanou hackerskou aktivitou je zřejmé, že Severní Korea byla v posledních třech letech odpovědná za většinu masivních útoků. Zajímavé je, že částky spojené s hackerskými útoky ze Severní Koreje byly nižší, přičemž hustota hackerských útoků v hodnotě kolem 10 000 dolarů také neustále roste.

Fy4FnCPPLvZIwBxpte6H7w60l19dPMcAo76QwyjU.jpeg

Některé z těchto incidentů se zdají být spojeny se severokorejskými IT pracovníky, kteří se stále více infiltrují do kryptoměnových a Web3 společností, což ohrožuje jejich sítě, operace a integritu. Tito zaměstnanci často používají složité strategie, techniky a postupy (TTP), jako jsou falešné identity, najímání třetích stran a manipulace s příležitostmi pro vzdálenou práci, aby získali přístup. V jednom nedávném případě americké ministerstvo spravedlnosti (DOJ) ve středu obvinilo 14 severokorejských občanů, kteří pracovali na dálku v USA. Společnosti získaly více než 88 milionů dolarů krádeží vlastních informací a vydíráním zaměstnavatelů.

Aby zmírnily tato rizika, měly by společnosti upřednostnit důkladné prověřování zaměstnanců - včetně prověrky pozadí a identifikace - a zároveň zachovat silnou bezpečnost soukromých klíčů na ochranu klíčových aktiv (pokud je to relevantní).

I když všechny tyto trendy naznačují, že Severní Korea byla letos velmi aktivní, většina jejích útoků se odehrála na začátku roku, zatímco celková hackerská aktivita v třetím a čtvrtém čtvrtletí zpomalila, jak ukázal dříve uvedený graf.

dkZ8DjiPY3AoRpHMD20RuYBMZZAkNT5cPuzoHrT7.jpeg

Na konci června 2024 se v Pchjongjangu také konala schůzka mezi ruským prezidentem Vladimirem Putinem a severokorejským vůdcem Kim Čong-unem, na které podepsali dohodu o společné obraně. Do této doby Rusko uvolnilo dříve zmrazené severokorejské aktiva v hodnotě milionů dolarů podle sankcí Rady bezpečnosti OSN, což ukazuje na stále se rozvíjející alianci mezi oběma zeměmi. Mezitím Severní Korea rozmístila vojska na Ukrajinu a poskytla Rusku balistické rakety a údajně také požádala Moskvu o pokročilou technologii ve vesmíru, raketách a ponorkách.

Pokud porovnáme průměrné denní ztráty před a po úniku DPRK 1. července 2024, můžeme vidět, že hodnota ukradených prostředků výrazně poklesla. Jak ukazuje následující graf, částka ukradená Severní Koreou klesla o přibližně 53,73 %, zatímco částka ukradená mimo Severní Koreu se zvýšila o přibližně 5 %. Kromě toho, že Severní Korea přesměrovala vojenské zdroje na konflikt na Ukrajině, výrazně posílila spolupráci s Ruskem v posledních letech a mohla také změnit svou kybernetickou kriminalitu.

LhryntjNb2L3byMCN0jxOVm6GzJ4D6C0ud1PgkMF.jpeg

Pokles prostředků ukradených Severní Koreou po 1. červenci 2024 je zřejmý, načasování je také jasné, ale je třeba poznamenat, že tento pokles nemusí nutně souviset s návštěvou Putina v Pchjongjangu. Kromě toho některé incidenty, které se odehrály v prosinci, mohou na konci roku změnit tento trend, a útočníci často útočí během svátků.

Případová studie: Útok Severní Koreje na DMM Bitcoin

Jedním z pozoruhodných příkladů hackerských útoků spojených se Severní Koreou v roce 2024 byl útok na japonskou kryptoměnovou burzu DMM Bitcoin, která byla napadena, což vedlo k ztrátě přibližně 4 502,9 bitcoinu, v té době v hodnotě 305 milionů dolarů. Útočníci cíleně využili zranitelnosti v infrastruktuře, kterou DMM používala, což vedlo k neoprávněným výběrům. Na to DMM, s podporou mateřské společnosti, plně vyplatila vklady zákazníků hledáním ekvivalentních prostředků.

Byli jsme schopni analyzovat tok financí na blockchainu po počátečním útoku; ve fázi jedna jsme viděli, jak útočníci převáděli kryptoměnu v hodnotě milionů dolarů z DMM Bitcoin na několik meziadres, které nakonec dorazily na server Bitcoin CoinJoin pro míchání.

n2SmBjbuTWsyz5OKWVX3Dh9q8Hrw7Qgb2fNvAAl9.jpeg

Po úspěšném smíchání ukradených prostředků s využitím bitcoinových CoinJoin míchacích služeb útočníci část prostředků převedli na Huioneguarantee, což je online trh spojený s kambodžskou podnikatelskou skupinou Huione Group, která je významným hráčem v oblasti usnadnění kyberkriminality.

3DDOS2tjEDyWcYzmLPR27S4Sc016YRx1gd8yQ4Vf.jpeg

DMM Bitcoin přenesl své aktiva a zákaznické účty na dceřinou společnost japonské finanční skupiny SBI Group, SBI VC Trade, přičemž přechod je naplánován na dokončení v březnu 2025. Naštěstí se objevují nové nástroje a predikční technologie, které prozkoumáme v následující části, abychom se připravili na prevenci takových destruktivních hackerských útoků.

Využití predikčních modelů k zastavení hackerských útoků

Pokročilé predikční technologie mění kybernetickou bezpečnost tím, že detekují potenciální rizika a hrozby v reálném čase, což poskytuje proaktivní přístup k ochraně digitálního ekosystému. Podívejme se na následující příklad týkající se decentralizovaného poskytovatele likvidity UwU Lend.

Dne 10. června 2024 útočníci manipulovali se systémem cenových orákulů UwU Lend a získali přibližně 20 milionů dolarů. Útočníci zahájili útok pomocí bleskové půjčky, aby změnili cenu Ethena Staked USDe (sUSDe) na několika orákulech, což vedlo k nesprávnému ocenění. V důsledku toho mohli útočníci během sedmi minut půjčit miliony dolarů. Hexagate detekoval útočný kontrakt a jeho podobné nasazení přibližně dva dny před zneužitím.

I když byl útočný kontrakt detekován přesně v reálném čase dva dny před zneužitím, jeho spojení s napadeným kontraktem se okamžitě neobjevilo kvůli jeho designovým důvodům. Další nástroje, jako je bezpečnostní orákulum Hexagate, mohou dále využít toto rané detekování k zmírnění hrozby. Je zajímavé, že první útok, který vedl ke ztrátě 8,2 milionu dolarů, se odehrál několik minut před následným útokem, což poskytlo další důležitý signál.

Taková varování vydaná před významnými blockchainovými útoky mají potenciál změnit bezpečnost hráčů v odvětví, což jim umožňuje zcela zabránit nákladným hackerským útokům, místo aby na ně reagovali.

59DXjYwczvFvXvVbujglt57Jg7tpCGPTmkXHQ6XZ.jpeg

Na následujícím grafu vidíme, že útočníci převedli ukradené prostředky přes dvě meziadresy, než dorazily do míchacího zařízení Ethereum smart contract Tornado Cash, které bylo schváleno OFAC.

bULNHgVtsnh9uSSULtVyPgyjRSToijouh5CGtYCg.jpeg

Je však třeba poznamenat, že samotný přístup k těmto predikčním modelům nezaručuje prevenci proti hackerským útokům, protože protokoly nemusí vždy mít vhodné nástroje pro efektivní jednání.

Potřeba silnější bezpečnosti kryptografie

Nárůst ukradených kryptoměn v roce 2024 zdůrazňuje potřebu odvětví reagovat na stále složitější a měnící se hrozby. I když rozsah krádeží kryptoměn se ještě neobnovil na úroveň let 2021 a 2022, výše uvedená obnova zdůrazňuje mezery v existujících bezpečnostních opatřeních a důležitost přizpůsobení se novým metodám zneužití. Pro efektivní řešení těchto výzev je klíčová spolupráce mezi veřejným a soukromým sektorem. Programy sdílení dat, řešení bezpečnosti v reálném čase, pokročilé sledovací nástroje a cílená školení mohou umožnit zainteresovaným stranám rychle identifikovat a odstranit zlé aktéry, zatímco budují odolnost potřebnou k ochraně kryptoměn.

Kromě toho, jak se kryptoměnové regulační rámce neustále vyvíjejí, může být posílena kontrola nad bezpečností platforem a ochranou zákaznických aktiv. Nejlepší praktiky v odvětví musí držet krok s těmito změnami, aby zajistily prevenci a odpovědnost. Posílením spolupráce s orgány činnými v trestním řízení a poskytováním rychlých zdrojů a odbornosti pro reakci může kryptoměnový průmysl posílit své schopnosti proti krádeži. Tato úsilí jsou zásadní nejen pro ochranu osobních aktiv, ale také pro budování dlouhodobé důvěry a stability v digitálním ekosystému.