Fuente: Chainalysis; Compilado por: Tao Zhu, Jinse Finance.

Los ataques de hackers de criptomonedas siguen siendo una amenaza persistente, con cuatro de los últimos diez años viendo más de mil millones de dólares en criptomonedas robadas (2018, 2021, 2022 y 2023). 2024 será el quinto año en alcanzar este inquietante hito, destacando que a medida que aumenta la adopción y el precio de las criptomonedas, también lo hace el monto susceptible de robo.

En 2024, los fondos robados aumentaron aproximadamente un 21.07% interanualmente, alcanzando 2.2 mil millones de dólares, mientras que el número de incidentes de hackers individuales aumentó de 282 en 2023 a 303 en 2024.

Curiosamente, la intensidad de los ataques de hackers de criptomonedas experimentó un cambio alrededor de la primera mitad de este año. En nuestra actualización del crimen a mitad de año, notamos que el valor acumulado robado entre enero de 2024 y julio de 2024 alcanzó los 1.58 mil millones de dólares, un 84.4% más que el valor robado en el mismo período de 2023. Como vemos en el gráfico a continuación, a finales de julio, el ecosistema fácilmente podría alinearse en una trayectoria que podría compararse con los más de 3 mil millones de dólares de 2021 y 2022. Sin embargo, la tendencia al alza de robos de criptomonedas en 2024 se desaceleró notablemente después de julio, manteniendo una relativa estabilidad. Más adelante, exploraremos las posibles razones geopolíticas detrás de este cambio.

En términos del monto robado desglosado por tipo de plataforma víctima, 2024 también mostró patrones interesantes. En la mayoría de los trimestres entre 2021 y 2023, las plataformas de finanzas descentralizadas (DeFi) fueron los principales objetivos de los hackers de criptomonedas. Las plataformas DeFi pueden ser más vulnerables a los ataques, ya que sus desarrolladores tienden a priorizar el crecimiento rápido y la introducción de productos en el mercado en lugar de implementar medidas de seguridad, lo que las convierte en un blanco principal para los hackers.

Aunque en el primer trimestre de 2024 DeFi sigue representando la mayor parte de los activos robados, los servicios centralizados fueron los más atacados en el segundo y tercer trimestre. Algunos de los ataques de hackers más notorios a servicios centralizados incluyen DMM Bitcoin (mayo de 2024; 305 millones de dólares) y WazirX (julio de 2024; 234.9 millones de dólares).

Este cambio de enfoque de DeFi a servicios centralizados destaca la creciente importancia de los mecanismos de seguridad comúnmente utilizados por los hackers, como las claves privadas. En 2024, la filtración de claves privadas representa la mayor proporción de criptomonedas robadas, alcanzando el 43.8%. Para los servicios centralizados, garantizar la seguridad de las claves privadas es crucial, ya que controlan el acceso a los activos de los usuarios. Dado que los intercambios centralizados manejan grandes sumas de fondos de usuarios, las repercusiones de la filtración de claves privadas pueden ser devastadoras; solo tenemos que mirar el ataque a DMM Bitcoin, valorado en 305 millones de dólares, que es uno de los mayores incidentes de vulnerabilidad de criptomonedas hasta la fecha, probablemente ocurrido debido a una mala gestión de claves privadas o falta de seguridad adecuada.

Después de la filtración de claves privadas, los actores maliciosos suelen blanquear los fondos robados a través de intercambios descentralizados (DEX), servicios de minería o servicios de mezcla, lo que confunde las pistas de las transacciones y complica el rastreo. Para 2024, podemos ver que las actividades de blanqueo de los hackers de claves privadas son muy diferentes a las de hackers que utilizan otros medios de ataque. Por ejemplo, después de robar claves privadas, estos hackers a menudo recurren a servicios de puente y mezcla. Para otros medios de ataque, los intercambios descentralizados son más comunes en las actividades de blanqueo.

En 2024, los hackers de Corea del Norte robarán más dinero de las plataformas de criptomonedas que nunca.

Los hackers relacionados con Corea del Norte son notorios por sus métodos complejos y despiadados, a menudo utilizando malware avanzado, ingeniería social y robos de criptomonedas para financiar acciones patrocinadas por el estado y evadir sanciones internacionales. Los funcionarios estadounidenses e internacionales han evaluado que Pyongyang utiliza criptomonedas robadas para financiar sus programas de armas de destrucción masiva y misiles balísticos, poniendo en riesgo la seguridad internacional. Para 2023, se estima que los hackers relacionados con Corea del Norte robaron alrededor de 660.5 millones de dólares a través de 20 incidentes; para 2024, esta cifra aumentó a 1.34 mil millones de dólares en 47 incidentes, con un aumento del 102.88% en el valor robado. Estas cifras representan el 61% del total robado ese año, abarcando el 20% del total de incidentes.

Cabe señalar que en el informe del año pasado, informamos que Corea del Norte había robado mil millones de dólares a través de 20 ataques de hackers. Tras una investigación más profunda, determinamos que algunos de los grandes ataques de hackers previamente atribuidos a Corea del Norte pueden no ser relevantes, reduciendo la cifra a 660.5 millones de dólares. Sin embargo, el número de incidentes se mantuvo constante, ya que encontramos otros ataques de hackers más pequeños atribuidos a Corea del Norte. A medida que obtenemos nuevas pruebas en cadena y fuera de ella, nuestro objetivo es reevaluar continuamente nuestra evaluación de los incidentes de hackers relacionados con Corea del Norte.

Desafortunadamente, los ataques de criptomonedas de Corea del Norte parecen volverse cada vez más frecuentes. En la siguiente figura, examinamos el tiempo promedio entre el éxito de los ataques de la DPRK en función de la magnitud de la explotación, y encontramos que la frecuencia de los ataques de varios tamaños ha disminuido interanualmente. Es notable que los ataques de entre 50 y 100 millones de dólares, así como aquellos de más de 100 millones de dólares, ocurren con mucha más frecuencia que en 2023, lo que indica que Corea del Norte está mejorando y acelerando su desempeño en ataques masivos. Esto contrasta marcadamente con los dos años anteriores, en los que sus ganancias por cada ataque a menudo eran inferiores a 50 millones de dólares.

Al comparar las actividades de Corea del Norte con todas las demás actividades de hackers que monitoreamos, es evidente que Corea del Norte ha sido responsable de la mayoría de los ataques masivos durante los últimos tres años. Curiosamente, el monto de los ataques de hackers norcoreanos ha sido más bajo, especialmente la densidad de ataques de hackers alrededor de 10,000 dólares también ha ido en aumento.

Algunos de estos incidentes parecen estar relacionados con profesionales de TI norcoreanos, que están infiltrándose cada vez más en empresas de criptomonedas y Web3, comprometiendo su red, operaciones e integridad. Estos empleados a menudo utilizan estrategias, técnicas y procedimientos (TTP) complejos, como identidades falsas, contratación de intermediarios de reclutamiento de terceros y manipulación de oportunidades de trabajo remoto para obtener acceso. En un caso reciente, el Departamento de Justicia de EE. UU. (DOJ) acusó el miércoles a 14 nacionales norcoreanos que trabajaban de forma remota en EE. UU. Las empresas ganaron más de 88 millones de dólares a través del robo de información propietaria y extorsión a empleadores.

Para mitigar estos riesgos, las empresas deben priorizar una debida diligencia exhaustiva en la contratación, que incluya verificaciones de antecedentes e identificación, al tiempo que mantienen una fuerte seguridad de claves privadas para proteger activos críticos (si corresponde).

A pesar de que todas estas tendencias indican que Corea del Norte ha estado muy activa este año, la mayoría de sus ataques ocurrieron a principios de año, y la actividad general de hackers se estancó en el tercer y cuarto trimestre, como se muestra en gráficos anteriores.

A finales de junio de 2024, el presidente ruso Vladimir Putin y el líder norcoreano Kim Jong-un también celebrarán una cumbre en Pyongyang para firmar un acuerdo de defensa conjunta. Hasta ahora este año, Rusia ha liberado millones de dólares en activos norcoreanos previamente congelados bajo las sanciones del Consejo de Seguridad de la ONU, lo que marca un desarrollo continuo en la alianza entre ambos países. Al mismo tiempo, Corea del Norte ha desplegado tropas en Ucrania y ha proporcionado misiles balísticos a Rusia, y se informa que también busca tecnología avanzada en el espacio, misiles y submarinos de Moscú.

Si comparamos las pérdidas promedio diarias de las vulnerabilidades de la DPRK antes y después del 1 de julio de 2024, podemos ver que el monto robado ha disminuido significativamente. Específicamente, como se muestra en el gráfico a continuación, la cantidad robada por Corea del Norte disminuyó aproximadamente un 53.73%, mientras que la cantidad robada por actores no norcoreanos aumentó aproximadamente un 5%. Por lo tanto, además de desviar recursos militares hacia el conflicto en Ucrania, Corea del Norte, que ha estado fortaleciendo su cooperación con Rusia en los últimos años, también podría haber cambiado su actividad de ciberdelito.

La disminución en la cantidad de fondos robados por Corea del Norte después del 1 de julio de 2024 es evidente y el momento es claro, pero es importante señalar que esta disminución no necesariamente está relacionada con la visita de Putin a Pyongyang. Además, algunos eventos que ocurren en diciembre podrían cambiar este patrón a finales de año, y los atacantes a menudo lanzan ataques durante las vacaciones.

Estudio de caso: El ataque de Corea del Norte a DMM Bitcoin.

Un ejemplo notable de ataques de hackers relacionados con Corea del Norte en 2024 involucra al intercambio de criptomonedas japonés DMM Bitcoin, que fue hackeado, lo que resultó en la pérdida de aproximadamente 4,502.9 bitcoins, valorados en 305 millones de dólares en ese momento. Los atacantes aprovecharon una vulnerabilidad en la infraestructura utilizada por DMM, lo que resultó en retiros no autorizados. En respuesta, DMM, con el apoyo de su empresa matriz, buscó fondos equivalentes para reembolsar completamente los depósitos de los clientes.

Pudimos analizar el flujo de fondos en la cadena después del ataque inicial. En la primera fase, vimos que los atacantes transfirieron criptomonedas por valor de varios millones de dólares desde DMM Bitcoin a varias direcciones intermedias, y finalmente a servidores de mezcla Bitcoin CoinJoin.

Después de mezclar con éxito los fondos robados utilizando el servicio de mezcla Bitcoin CoinJoin, los atacantes transfirieron parte de los fondos a través de algunos servicios de puente a Huioneguarantee, un mercado en línea vinculado al grupo empresarial camboyano Huione Group, que es un actor importante en facilitar el cibercrimen.

DMM Bitcoin ha transferido sus activos y cuentas de clientes a SBI VC Trade, una subsidiaria del grupo financiero japonés SBI Group, con la transición programada para completarse en marzo de 2025. Afortunadamente, nuevas herramientas y tecnologías de predicción están surgiendo, y discutiremos lo que estamos preparando en la siguiente sección para prevenir la ocurrencia de ataques destructivos como estos.

Utilizando modelos predictivos para detener ataques de hackers.

Las tecnologías de predicción avanzadas están transformando la ciberseguridad al detectar en tiempo real riesgos y amenazas potenciales, ofreciendo un enfoque proactivo para proteger los ecosistemas digitales. Veamos un ejemplo a continuación, que involucra al proveedor de liquidez descentralizado UwU Lend.

El 10 de junio de 2024, los atacantes obtuvieron aproximadamente 20 millones de dólares manipulando el sistema de oracle de precios de UwU Lend. Los atacantes iniciaron un ataque de préstamo relámpago para alterar el precio de Ethena Staked USDe (sUSDe) en varios oráculos, lo que resultó en una valoración incorrecta. Así, los atacantes pudieron pedir prestados millones de dólares en cuestión de siete minutos. Hexagate detectó el contrato de ataque y su implementación similar aproximadamente dos días antes de la explotación.

A pesar de que el contrato de ataque fue detectado con precisión en tiempo real dos días antes de la explotación, su conexión con el contrato que fue explotado no se hizo evidente de inmediato debido a su diseño. Con herramientas adicionales como los oráculos de seguridad de Hexagate, esta detección temprana se puede aprovechar aún más para mitigar la amenaza. Es notable que el primer ataque que resultó en una pérdida de 8.2 millones de dólares ocurrió minutos antes de ataques posteriores, lo que proporciona otra señal importante.

Alertas como esta emitidas antes de ataques significativos en la cadena tienen el potencial de cambiar la seguridad de los participantes de la industria, permitiéndoles prevenir ataques costosos en lugar de responder a ellos.

En el gráfico a continuación, vemos que los atacantes transfirieron los fondos robados a través de dos direcciones intermedias antes de que llegaran al mezclador de contratos inteligentes de Ethereum aprobado por OFAC, Tornado Cash.

Sin embargo, es importante tener en cuenta que simplemente acceder a estos modelos predictivos no garantiza la prevención de ataques de hackers, ya que los protocolos pueden no siempre tener las herramientas adecuadas para actuar de manera efectiva.

Se necesita una seguridad criptográfica más robusta.

El aumento de criptomonedas robadas en 2024 destaca la necesidad de la industria de abordar la compleja y cambiante situación de amenazas. Aunque el volumen de robos de criptomonedas aún no ha regresado a los niveles de 2021 y 2022, el resurgimiento mencionado resalta las brechas en las medidas de seguridad existentes y la importancia de adaptarse a nuevos métodos de explotación. Para abordar estos desafíos de manera efectiva, la cooperación entre los sectores público y privado es crucial. Los planes de compartición de datos, soluciones de seguridad en tiempo real, herramientas de seguimiento avanzadas y capacitación dirigida pueden permitir a las partes interesadas identificar y neutralizar rápidamente a los actores maliciosos, al tiempo que establecen la resiliencia necesaria para proteger los activos criptográficos.

Además, a medida que el marco regulatorio de las criptomonedas continúa evolucionando, el escrutinio sobre la seguridad de las plataformas y la protección de los activos de los clientes podría intensificarse. Las mejores prácticas de la industria deben mantenerse al día con estos cambios para garantizar la prevención y la rendición de cuentas. Al establecer asociaciones más sólidas con las fuerzas del orden y proporcionar a los equipos recursos y experiencia para una respuesta rápida, la industria de criptomonedas puede fortalecer su capacidad de defensa contra robos. Estos esfuerzos son cruciales no solo para proteger los activos individuales, sino también para construir confianza y estabilidad a largo plazo en el ecosistema digital.