Zdroj: Chainalysis
Sestavil: Tao Zhu, Jinse Finance.
Kybernetické útoky na kryptoměny zůstávají stálou hrozbou, během posledního desetiletí byly ve čtyřech letech ukradeny kryptoměny v hodnotě přes 1 miliardu dolarů (v letech 2018, 2021, 2022 a 2023). Rok 2024 bude pátým rokem, kdy dosáhneme tohoto znepokojujícího milníku, což ukazuje, že s přijetím kryptoměn a růstem cen se zvyšuje i částka, kterou lze ukrást.
V roce 2024 vzrostla ukradená částka meziročně o přibližně 21,07 %, dosahující 2,2 miliardy dolarů, a počet individuálních hackerských incidentů vzrostl z 282 v roce 2023 na 303 v roce 2024.
Zajímavé je, že intenzita kybernetických útoků na kryptoměny se v první polovině tohoto roku změnila. V naší aktualizaci zločinnosti na polovinu roku jsme zaznamenali, že kumulativní hodnota ukradených prostředků mezi lednem 2024 a červencem 2024 dosáhla 1,58 miliardy dolarů, což je přibližně o 84,4 % více než totožná doba v roce 2023. Jak vidíme v níže uvedeném grafu, ekosystém se snadno dostal na správnou cestu, a tento rok může konkurovat více než 3 miliardám dolarů v letech 2021 a 2022. Nicméně trend vzrůstu krádeží kryptoměn v roce 2024 po červenci jasně zpomalil a poté zůstal relativně stabilní. Později prozkoumáme potenciální geopolitické příčiny této změny.
Pokud jde o částku ukradenou podle typu platformy obětí, v roce 2024 se objevily zajímavé vzory. V drtivé většině čtvrtletí mezi lety 2021 a 2023 byly decentralizované finanční (DeFi) platformy hlavním cílem kryptoměnových hackerů. DeFi platformy mohou být snadněji napadnutelné, protože jejich vývojáři často upřednostňují rychlý růst a uvedení produktů na trh před zavedením bezpečnostních opatření, což je činí hlavním cílem hackerů.
I když v prvním čtvrtletí 2024 DeFi stále představovalo největší podíl ukradených aktiv, centralizované služby byly nejvíce cílené ve druhém a třetím čtvrtletí. Některé z nejznámějších centralizovaných hackerských útoků zahrnují DMM Bitcoin (květen 2024; 305 milionů dolarů) a WazirX (červenec 2024; 234,9 milionu dolarů).
Tento posun od DeFi k centralizovaným službám zdůrazňuje rostoucí význam bezpečnostních mechanismů, které hackeři běžně používají (například privátní klíče). V roce 2024 mělo únik privátních klíčů největší podíl na ukradených kryptoměnách, dosahující 43,8 %. Pro centralizované služby je zajištění bezpečnosti privátních klíčů zásadní, protože kontrolují přístup k uživatelským aktivům. Vzhledem k tomu, že centralizované burzy spravují velké objemy uživatelských financí, může mít únik privátních klíčů katastrofální důsledky; stačí se podívat na hack DMM Bitcoin v hodnotě 305 milionů dolarů, což je jeden z největších kryptoměnových úniků dosud, který se mohl stát v důsledku špatného řízení privátních klíčů nebo nedostatečné bezpečnosti.
Po odhalení privátních klíčů obvykle zlí aktéři praní ukradené prostředky prostřednictvím decentralizovaných burz (DEX), těžebních služeb nebo mixérů, čímž zaměňují transakční stopy a ztěžují sledování. Do roku 2024 můžeme vidět, že praní peněz hackerů zaměřených na privátní klíče se značně liší od praní peněz hackerů, kteří využívají jiné útočné prostředky. Například po krádeži privátních klíčů tito hackeři často přecházejí na mosty a mixéry. U jiných útočných prostředků jsou decentralizované burzy častěji používány pro praní peněz.
V roce 2024 ukradnou severokorejští hackeři z kryptoměnových platforem více peněz než kdy jindy.
Hackeři spjatí se Severní Koreou jsou proslulí svými složitými a nelítostnými metodami, často využívají pokročilý malware, sociální inženýrství a krádeže kryptoměn k financování státem sponzorovaných akcí a obcházení mezinárodních sankcí. Američtí a mezinárodní úředníci hodnotí, že Pchjongjang využívá ukradené kryptoměny k financování svého programu zbraní hromadného ničení a balistických raket, což ohrožuje mezinárodní bezpečnost. Do roku 2023 ukradli severokorejští hackeři přibližně 660,5 milionu dolarů prostřednictvím 20 incidentů; do roku 2024 tato částka vzrostla na 1,34 miliardy dolarů v rámci 47 incidentů, což znamená nárůst o 102,88 %. Tyto čísla představují 61 % celkové částky ukradené v daném roce a 20 % z celkového počtu incidentů.
Upozorňujeme, že v loňské zprávě jsme zveřejnili, že Severní Korea ukradla 1 miliardu dolarů prostřednictvím 20 hackerských útoků. Po dalším vyšetřování jsme zjistili, že některé z dříve připsaných velkých hackerských útoků Severní Koreji již nemusí být relevantní, a proto se částka snížila na 660,5 milionu dolarů. Počet incidentů však zůstal stejný, protože jsme objevili další menší hackerské útoky připsané Severní Koreji. Jakmile získáme nové důkazy na blockchainu a mimo něj, naším cílem je neustále přehodnocovat naše hodnocení hackerských incidentů spojených se Severní Koreou.
Bohužel se zdá, že kybernetické útoky Severní Koreje na kryptoměny se stávají stále častějšími. V níže uvedeném grafu zkoumáme průměrný čas mezi úspěšnými útoky DPRK podle velikosti exploitu a zjišťujeme, že frekvence útoků různé velikosti meziročně klesla. Zajímavé je, že útoky v roce 2024 v hodnotě 50 až 100 milionů dolarů a nad 100 milionů dolarů se vyskytovaly mnohem častěji než v roce 2023, což naznačuje, že Severní Korea se v oblasti velkých útoků zlepšila a zrychlila. To kontrastuje s předchozími dvěma lety, kdy její zisky z každého útoku často klesaly pod 50 milionů dolarů.
Při porovnávání aktivit Severní Koreje s veškerými ostatními hackerskými aktivitami, které monitorujeme, je jasné, že Severní Korea byla v posledních třech letech zodpovědná za většinu velkých útoků. Zajímavé je, že částky ukradené severokorejskými hackery jsou nižší, a zejména hustota hackerských útoků v hodnotě kolem 10 000 dolarů se také neustále zvyšuje.
Některé z těchto incidentů se zdají být spojeny se severokorejskými IT odborníky, kteří se stále více infiltruji do kryptoměnových a Web3 společností, čímž ohrožují jejich sítě, operace a integritu. Tito zaměstnanci často používají složité strategie, techniky a postupy (TTP), jako jsou falešné identity, najímání třetích stran a manipulace s příležitostmi pro vzdálenou práci, aby získali přístup. V nedávném případě americké ministerstvo spravedlnosti (DOJ) ve středu obvinilo 14 severokorejských státních příslušníků pracujících na dálku v USA. Firmy tímto způsobem vydělaly více než 88 milionů dolarů krádeží chráněných informací a vydíráním zaměstnavatelů.
Aby se snížila tato rizika, měly by společnosti dávat prioritu důkladnému prověřování zaměstnanců – včetně pozadí a ověřování identity – a zároveň udržovat silnou bezpečnost privátních klíčů k ochraně klíčových aktiv (pokud je to relevantní).
I když všechny tyto trendy naznačují, že Severní Korea byla letos velmi aktivní, většina jejích útoků se odehrála na začátku roku, přičemž celková hackerská aktivita se ve třetím a čtvrtém čtvrtletí zastavila, jak ukazuje dřívější graf.
Na konci června 2024 se ruský prezident Vladimir Putin a severokorejský vůdce Kim Čong-un setkají v Pchjongjangu, aby podepsali společnou obrannou dohodu. Do této doby Rusko v souladu se sankcemi Rady bezpečnosti OSN uvolnilo dříve zmrazené severokorejské aktiva v hodnotě milionů dolarů, což představuje pokračující rozvoj aliance mezi oběma zeměmi. Mezitím Severní Korea nasadila vojenské jednotky na Ukrajinu a poskytla Rusku balistické rakety, a údajně také žádala Moskvu o pokročilé technologie v oblasti vesmíru, raket a ponorek.
Pokud porovnáme průměrné denní ztráty z útoků DPRK před a po 1. červenci 2024, vidíme, že částka ukradená se výrazně snížila. Jak je znázorněno na níže uvedeném grafu, částka ukradená Severní Koreou klesla přibližně o 53,73 %, zatímco částka ukradená jinými subjekty vzrostla přibližně o 5 %. Takže kromě přesunu vojenských zdrojů na konflikt na Ukrajině se Severní Korea, která v posledních letech výrazně posílila spolupráci s Ruskem, možná rozhodla změnit svou kyberkriminalitu.
Pokles severokorejského kradení prostředků po 1. červenci 2024 je zřejmý, načasování je také jasné, ale stojí za zmínku, že tento pokles nemusí nutně souviset s Putinovou návštěvou Pchjongjangu. Kromě toho některé události, které se odehrály v prosinci, mohou na konci roku změnit tento vzor a útočníci často útočí během prázdnin.
Případová studie: Útok Severní Koreje na DMM Bitcoin.
Jedním z význačných příkladů hackerských útoků spojených se Severní Koreou v roce 2024 je útok na japonskou kryptoměnovou burzu DMM Bitcoin, která byla napadena a ztratila přibližně 4 502,9 bitcoinu, což v té době představovalo 305 milionů dolarů. Útočníci zacíli na zranitelnosti infrastrukturního systému DMM, což vedlo k neoprávněným výběrům. DMM, s podporou své mateřské společnosti, se rozhodla plně vyplatit vklady zákazníků tím, že hledala ekvivalentní prostředky.
Jsme schopni analyzovat tok peněz na blockchainu po počátečním útoku; v prvním kroku vidíme, jak útočníci převedli kryptoměny v hodnotě milionů dolarů z DMM Bitcoin na několik mezilehlých adres, než konečně dorazily na mixér Bitcoin CoinJoin.
Po úspěšném smíchání ukradených prostředků pomocí služby CoinJoin na Bitcoinu útočníci převedli část prostředků přes několik zprostředkovatelských služeb na Huioneguarantee, což je online trh spojený s kambodžskou podnikatelskou skupinou Huione Group, která je významným účastníkem usnadňujícím kybernetickou kriminalitu.
DMM Bitcoin převedla své aktiva a zákaznické účty na dceřinou společnost japonské finanční skupiny SBI, SBI VC Trade, přičemž přechod má být dokončen do března 2025. Naštěstí se objevují nové nástroje a predikční technologie, které budeme podrobněji zkoumat v následující části, abychom se připravili na prevenci těchto destruktivních kybernetických útoků.
Použití predikčních modelů k zastavení kybernetických útoků.
Pokročilé predikční technologie mění kybernetickou bezpečnost prostřednictvím detekce potenciálních rizik a hrozeb v reálném čase, což poskytuje proaktivní přístup k ochraně digitálního ekosystému. Podívejme se na následující příklad, který se týká decentralizovaného poskytovatele likvidity UwU Lend.
Dne 10. června 2024 útočníci manipulovali s cenovým oracle systémem UwU Lend a ukradli přibližně 20 milionů dolarů. Útočníci zahájili útok s bleskovou půjčkou, aby změnili cenu Ethena Staked USDe (sUSDe) na několika oracích, což vedlo k nesprávnému ocenění. Tímto způsobem mohli útočníci půjčit miliony dolarů za sedm minut. Hexagate detekoval útokové smlouvy přibližně dva dny před exploitem.
I když byl útokový kontrakt přesně detekován v reálném čase dva dny před exploitem, kvůli svému designu nebylo okamžitě zřejmé jeho spojení s napadeným kontraktem. Další nástroje, jako je bezpečnostní oracle Hexagate, mohou tuto ranou detekci dále využít k zmírnění hrozeb. Za zmínku stojí, že první útok, který vedl k ztrátě 8,2 milionu dolarů, proběhl jen několik minut před následnými útoky, což poskytlo další důležitý signál.
Takové varování vydaná před významnými útoky na blockchain mohou změnit bezpečnostní situaci účastníků v odvětví, což jim umožní zcela se vyhnout nákladným kybernetickým útokům, místo aby na ně pouze reagovali.
V níže uvedeném grafu vidíme, že útočníci převedli ukradené prostředky přes dva mezilehlé adresy, než dorazily na mixér Ethereum Tornado Cash, který schválila OFAC.
Je však třeba poznamenat, že samotný přístup k těmto predikčním modelům nezajišťuje ochranu před kybernetickými útoky, protože protokoly nemusí vždy mít vhodné nástroje k účinnému jednání.
Je třeba posílit zabezpečení kryptoměn.
Nárůst ukradených kryptoměn v roce 2024 zdůrazňuje potřebu odvětví reagovat na stále složitější a měnící se hrozby. I když objem krádeží kryptoměn se ještě nevrátil na úroveň let 2021 a 2022, výše uvedený oživení zdůrazňuje mezery v současných bezpečnostních opatřeních a důležitost přizpůsobení se novým metodám využití. Aby se efektivně čelilo těmto výzvám, je nezbytná spolupráce mezi veřejným a soukromým sektorem. Programy sdílení dat, řešení bezpečnosti v reálném čase, pokročilé sledovací nástroje a cílená školení mohou umožnit zúčastněným stranám rychle identifikovat a eliminovat zlé činitele, zatímco budují odolnost potřebnou k ochraně kryptoměn.
Kromě toho, jak se vyvíjí regulační rámec pro kryptoměny, může být posuzování bezpečnosti platforem a ochrany zákaznických aktiv posíleno. Nejlepší praktiky v odvětví musí držet krok s těmito změnami, aby zajistily prevenci a odpovědnost. Posílením partnerství s orgány činnými v trestním řízení a poskytováním zdrojů a odbornosti pro rychlou reakci může kryptoměnový sektor posílit svou schopnost chránit proti krádežím. Tyto snahy jsou klíčové nejen pro ochranu osobních aktiv, ale také pro budování dlouhodobé důvěry a stability v digitálním ekosystému.