Převzato z: Kinsue Finance
Zdroj: Chainalysis
Přeložil: Tao Zhu, Kinsue Finance
Kybernetické útoky na kryptoměny zůstávají trvalou hrozbou, přičemž během posledních deseti let bylo odcizeno kryptoměn v hodnotě přes 1 miliardu dolarů (v letech 2018, 2021, 2022 a 2023). Rok 2024 bude pátým rokem, kdy se dosáhne této znepokojující milníku, což zdůrazňuje, že s rostoucím přijetím kryptoměn a zvyšujícími se cenami se také zvyšuje množství, které lze ukrást.
V roce 2024 vzrostla ukradená částka meziročně o přibližně 21,07 %, dosahující 2,2 miliardy dolarů, přičemž počet individuálních hackerských incidentů vzrostl z 282 v roce 2023 na 303 v roce 2024.
Zajímavé je, že intenzita kybernetických útoků na kryptoměny se během prvního pololetí letošního roku měnila. V naší aktualizaci zločinnosti v polovině roku jsme si všimli, že kumulativní hodnota ukradená v období od ledna 2024 do července 2024 dosáhla 1,58 miliardy dolarů, což je přibližně o 84,4 % více než v období stejného roku 2023. Jak vidíme v níže uvedeném grafu, do konce července se ekosystém snadno vzpamatoval, což by mohlo být srovnatelné s více než 3 miliardami dolarů v letech 2021 a 2022. Avšak trend stoupající ukradené kryptoměny v roce 2024 se po červenci znatelně zpomalil a poté zůstal relativně stabilní. Později prozkoumáme potenciální geopolitické důvody této změny.
Pokud jde o rozdělení ukradené částky podle typu platformy oběti, v roce 2024 se objevily zajímavé vzory. Většina čtvrtin v letech 2021 až 2023 byla decentralizovaná finanční (DeFi) platforma primárním cílem kybernetických hackerů. DeFi platformy mohou být náchylnější k útokům, protože jejich vývojáři obvykle upřednostňují rychlý růst a uvádění produktů na trh před implementací bezpečnostních opatření, což je činí hlavním cílem pro hackery.
Ačkoliv v prvním čtvrtletí roku 2024 DeFi stále představovalo největší podíl odcizených aktiv, centralizované služby byly ve druhém a třetím čtvrtletí nejvíce cílené. Některé z nejznámějších útoků na centralizované služby zahrnují DMM Bitcoin (květen 2024; 305 milionů dolarů) a WazirX (červenec 2024; 234,9 milionu dolarů).
Tato změna zaměření z DeFi na centralizované služby podtrhuje rostoucí význam bezpečnostních mechanismů, které hackeři často používají (např. soukromé klíče). V roce 2024 tvořily úniky soukromých klíčů největší podíl na odcizených kryptoměnách, dosahující 43,8 %. Pro centralizované služby je zajištění bezpečnosti soukromých klíčů zásadní, protože tyto klíče kontrolují přístup k uživatelským aktivům. Vzhledem k tomu, že centralizované burzy spravují značné množství uživatelských prostředků, důsledky úniku soukromých klíčů mohou být devastující; stačí se podívat na útok DMM Bitcoin v hodnotě 305 milionů dolarů, který je dosud největším útokem na kryptoměny, a který mohl být způsoben špatnou správou soukromých klíčů nebo nedostatečnou bezpečností.
Po úniku soukromého klíče obvykle útočníci praní ukradených prostředků prostřednictvím decentralizovaných burz (DEX), těžebních služeb nebo mixovacích služeb, čímž zaměňují obchodní stopy a ztěžují sledování. V roce 2024 může být patrný významný rozdíl mezi praním peněz hackerů, kteří ukradli soukromé klíče, a praním peněz hackerů, kteří využívají jiné útoky. Například po krádeži soukromého klíče se tito hackeři často obracejí na mostové a mixovací služby. Pro ostatní útoky jsou decentralizované burzy častěji používány pro činnosti praní peněz.
V roce 2024 hackeři z KLDR ukradli z kryptoměnových platforem více než kdykoli předtím.
Hackeři spojení s KLDR jsou notoricky známí pro své složité a bezohledné metody, často využívající pokročilé malware, sociální inženýrství a krádeže kryptoměn k financování státem sponzorovaných akcí a obcházení mezinárodních sankcí. Američtí a mezinárodní úředníci odhadují, že Pchjongjang využívá ukradené kryptoměny k financování svých programů hromadného ničení a balistických raket, což ohrožuje mezinárodní bezpečnost. Do roku 2023 hackeři spojení s KLDR ukradli přibližně 660,5 milionu dolarů prostřednictvím 20 incidentů; do roku 2024 se toto číslo zvýšilo na 1,34 miliardy dolarů prostřednictvím 47 incidentů, což představuje nárůst ukradené hodnoty o 102,88 %. Tato čísla představují 61 % celkové ukradené částky za daný rok a 20 % celkového počtu incidentů.
Všimněte si, že v loňské zprávě jsme uvedli, že KLDR ukradla 1 miliardu dolarů prostřednictvím 20 kybernetických útoků. Dalším vyšetřováním jsme zjistili, že některé z dříve přisuzovaných velkých kybernetických útoků KLDR nemusí být již relevantní, a proto se částka snížila na 660,5 milionu dolarů. Počet incidentů však zůstává stejný, protože jsme objevili další menší kybernetické útoky, které byly přisuzovány KLDR. Jakmile získáme nové důkazy na blockchainu a mimo něj, naším cílem je neustále přehodnocovat naše hodnocení kybernetických incidentů spojených s KLDR.
Bohužel se zdá, že kybernetické útoky KLDR na kryptoměny se stávají čím dál častějšími. V níže uvedeném grafu zkoumáme průměrný čas mezi úspěšnými útoky KLDR podle velikosti zneužití a zjistíme, že útoky různých velikostí klesly v roce na rok. Je zajímavé, že v roce 2024 byl výskyt útoků v hodnotě od 50 do 100 milionů dolarů a nad 100 milionů dolarů mnohem vyšší než v roce 2023, což naznačuje, že KLDR se v provádění rozsáhlých útoků zlepšuje a dělá to rychleji. To je v kontrastu s předchozími dvěma lety, kdy jejich zisky z jednotlivých útoků obvykle klesaly pod 50 milionů dolarů.
Při srovnání aktivit KLDR s veškerou ostatní sledovanou hackerskou činností je zřejmé, že KLDR byla v posledních třech letech odpovědná za většinu rozsáhlých útoků. Zajímavé je, že částky spojené s útoky KLDR jsou nižší, zejména hustota útoků v hodnotě kolem 10 000 dolarů se také neustále zvyšuje.
Některé události se zdají být spojeny s pracovníky IT z KLDR, kteří stále více pronikají do společností zabývajících se kryptoměnami a Web3, což poškozuje jejich sítě, operace a integritu. Tito zaměstnanci často používají složité strategie, techniky a postupy (TTP), jako jsou falešné identity, najímání třetích stran jako náborových agentur a manipulace s příležitostmi k vzdálené práci, aby získali přístup. V nedávném případě americké ministerstvo spravedlnosti (DOJ) ve středu obvinilo 14 občanů KLDR, kteří pracovali jako vzdálení pracovníci IT v USA. Společnosti vydělaly více než 88 milionů dolarů krádeží cenných informací a vydíráním zaměstnavatelů.
Aby se zmírnily tyto rizika, měly by společnosti dávat přednost důkladnému prověřování zaměstnanců - včetně kontrol pozadí a ověřování identity - a zároveň udržovat silnou bezpečnost soukromých klíčů k ochraně klíčových aktiv (pokud je to relevantní).
Ačkoliv všechny tyto trendy naznačují, že KLDR byla letos velmi aktivní, většina jejich útoků se odehrála na začátku roku a celková kybernetická aktivita v třetím a čtvrtém čtvrtletí stagnovala, jak ukazují předchozí grafy.
Na konci června 2024 se ruský prezident Vladimir Putin a vůdce KLDR Kim Čong-un sejdou také v Pchjongjangu, aby podepsali dohodu o společné obraně. Do současného roku Rusko uvolnilo miliony dolarů dříve zmrazených aktiv KLDR v souladu se sankcemi Rady bezpečnosti OSN, což značí pokračující rozvoj aliance mezi oběma zeměmi. Mezitím KLDR nasadila vojska na Ukrajinu, poskytla Rusku balistické rakety a podle zpráv také hledala pokročilé technologie v oblasti vesmíru, raket a ponorek.
Pokud porovnáme průměrné denní ztráty z případů zneužití před a po 1. červenci 2024, můžeme vidět výrazný pokles odcizené hodnoty. Jak je znázorněno na níže uvedeném grafu, množství ukradené KLDR pokleslo o přibližně 53,73 %, zatímco množství ukradené jinými subjekty vzrostlo o přibližně 5 %. Proto se, kromě přesunu vojenských zdrojů k ukrajinskému konfliktu, může KLDR, která v posledních letech výrazně posílila spolupráci s Ruskem, také změnit své kyberkriminální aktivity.
Pokles krádeží prostředků ze strany KLDR po 1. červenci 2024 je zřejmý a načasování je také jasné, ale stojí za zmínku, že tento pokles nemusí nutně souviset s návštěvou Putina v Pchjongjangu. Kromě toho některé události, které se staly v prosinci, mohou na konci roku změnit tento vzorec, a útočníci často útočí během prázdnin.
Případová studie: Útok KLDR na DMM Bitcoin
Jedním z dobře známých příkladů kybernetických útoků spojených s KLDR v roce 2024 byl útok na japonskou kryptoměnovou burzu DMM Bitcoin, při kterém bylo ztraceno přibližně 4 502,9 bitcoinu, což bylo v té době v hodnotě 305 milionů dolarů. Útočníci cíleně využili zranitelnosti v infrastruktuře, kterou DMM používá, což vedlo k neoprávněným výběrům. Na to DMM s podporou skupinové společnosti plně vrátilo zákaznické vklady hledáním ekvivalentních prostředků.
Byli jsme schopni analyzovat tok prostředků na blockchainu po počátečním útoku, v první fázi jsme viděli, jak útočníci převádějí kryptoměny v hodnotě milionů dolarů z DMM Bitcoin na několik mezilehlých adres, které nakonec dorazily na mixovací server Bitcoin CoinJoin.
Po úspěšném smíchání ukradených prostředků pomocí Bitcoin CoinJoin mixovací služby útočníci převedli část prostředků prostřednictvím několika mostových služeb na Huioneguarantee, což je online trh spojený s kambodžskou podnikatelskou skupinou Huione Group, která je významným aktérem v oblasti usnadňování kyberkriminality.
DMM Bitcoin převedl své aktiva a zákaznické účty na dceřinou společnost japonské finanční skupiny SBI Group, SBI VC Trade, přičemž přechod má být dokončen do března 2025. Naštěstí se objevují nové nástroje a predikční technologie, které prozkoumáme v další sekci, aby se připravily na prevenci takových destruktivních kybernetických útoků.
Využití predikčních modelů k zastavení kybernetických útoků
Pokročilé predikční technologie mění kybernetickou bezpečnost tím, že poskytují proaktivní přístup k ochraně digitálních ekosystémů tím, že v reálném čase detekují potenciální rizika a hrozby. Podívejme se na níže uvedený příklad, který se týká decentralizovaného poskytovatele likvidity UwU Lend.
Dne 10. června 2024 útočníci získali přibližně 20 milionů dolarů prostřednictvím manipulace s cenovým oracle systémem UwU Lend. Útočníci provedli útok na bleskový úvěr, aby změnili cenu Ethena Staked USDe (sUSDe) na několika oraclech, což vedlo k nesprávné ocenění. Útočníci tak mohli během sedmi minut půjčit miliony dolarů. Hexagate detekoval útokovou smlouvu a její podobné nasazení přibližně dva dny před zneužitím.
Ačkoliv byla útoková smlouva přesně detekována v reálném čase dva dny před zneužitím, její spojení s využívanou smlouvou se okamžitě neprojevilo z důvodu jejího designu. Pomocí nástrojů, jako je bezpečnostní oracle Hexagate, lze tuto včasnou detekci dále využít k zmírnění hrozeb. Je třeba poznamenat, že první útok, který vedl ke ztrátě 8,2 milionu dolarů, se odehrál několik minut před následnými útoky, což poskytlo další důležitý signál.
Taková varování vydaná před významnými útoky na blockchain mohou změnit bezpečnostní situaci pro účastníky v oboru, což jim umožní zcela zabránit nákladným kybernetickým útokům místo toho, aby na ně reagovali.
Na níže uvedeném grafu vidíme, že útočníci převedli ukradené prostředky prostřednictvím dvou mezilehlých adres, než dorazily k mixéru Ethereum smart contractu Tornado Cash, který byl schválen OFAC.
Je však třeba poznamenat, že samotný přístup k těmto predikčním modelům nezaručuje prevenci kybernetických útoků, protože protokoly nemusí vždy mít vhodné nástroje k tomu, aby mohly účinně jednat.
Potřeba silnější kryptografické bezpečnosti
Nárůst odcizených kryptoměn v roce 2024 zdůrazňuje potřebu tohoto odvětví reagovat na stále složitější a měnící se hrozby. I když rozsah krádeží kryptoměn se ještě nevrátil na úroveň let 2021 a 2022, oživení výše uvedených událostí podtrhuje mezery v současných bezpečnostních opatřeních a důležitost adaptace na nové metody zneužívání. K efektivnímu řešení těchto výzev je zásadní spolupráce mezi veřejným a soukromým sektorem. Programy sdílení dat, řešení pro zabezpečení v reálném čase, pokročilé sledovací nástroje a cílené školení mohou umožnit zúčastněným stranám rychle identifikovat a eliminovat škodlivé aktéry, zatímco budují odolnost potřebnou k ochraně kryptoměnových aktiv.
Dále, jak se vyvíjí regulační rámec pro kryptoměny, může se zintenzivnit přezkum bezpečnosti platforem a ochrany zákaznických aktiv. Nejlepší praxe v oboru musí držet krok s těmito změnami a zajišťovat prevenci a odpovědnost. Posílením spolupráce s orgány činnými v trestním řízení a poskytováním rychlých zdrojů a odbornosti pro týmy může kryptoměnový průmysl posílit své schopnosti proti krádežím. Tyto snahy jsou zásadní nejen pro ochranu osobních aktiv, ale také pro budování dlouhodobé důvěry a stability v digitálním ekosystému.