Título original: $2.2 Billion Stolen from Crypto Platforms in 2024, but Hacked Volumes Stagnate Toward Year-End as DPRK Slows Activity Post-July

Autor original: Chainalysis

Traducción original: Tao Zhu, Jinse Caijing

Reimpresión: Luke, Mars Finance

Los ataques de hackers de criptomonedas siguen siendo una amenaza persistente; en cuatro de los últimos diez años, se han robado criptomonedas por valor de más de mil millones de dólares (2018, 2021, 2022 y 2023). 2024 será el quinto año en alcanzar este inquietante hito, subrayando que a medida que aumenta la adopción y el precio de las criptomonedas, también aumenta el monto que puede ser robado.

En 2024, los fondos robados aumentaron aproximadamente un 21.07% interanual, alcanzando los 2.2 mil millones de dólares. El número de incidentes de hackers individuales aumentó de 282 en 2023 a 303 en 2024.

Curiosamente, la intensidad de los ataques de hackers de criptomonedas cambió alrededor de la primera mitad de este año. En nuestra actualización de delitos a mitad de año, notamos que el valor acumulado robado entre enero de 2024 y julio de 2024 ya había alcanzado 1.58 mil millones de dólares, aproximadamente un 84.4% más que el valor robado en el mismo período de 2023. Como vemos en la figura a continuación, hacia finales de julio, el ecosistema estaba en camino de alcanzar cifras comparables a los más de 3 mil millones de dólares de 2021 y 2022. Sin embargo, la tendencia ascendente de robos de criptomonedas en 2024 se desaceleró notablemente después de julio y se mantuvo relativamente estable. Más adelante, exploraremos las posibles razones geopolíticas detrás de este cambio.

En términos de montos robados clasificados por tipo de plataforma víctima, 2024 también presenta patrones interesantes. En la mayoría de los trimestres de 2021 a 2023, las plataformas de finanzas descentralizadas (DeFi) fueron el principal objetivo de los hackers de criptomonedas. Las plataformas DeFi pueden ser más vulnerables a ataques porque sus desarrolladores tienden a priorizar el rápido crecimiento y llevar productos al mercado en lugar de implementar medidas de seguridad, lo que las convierte en objetivos principales para los hackers.

Aunque en el primer trimestre de 2024 DeFi sigue siendo la mayor parte de los activos robados, los servicios centralizados fueron los más objetivos en el segundo y tercer trimestre. Algunos de los ataques más notorios a servicios centralizados incluyen DMM Bitcoin (mayo de 2024; 305 millones de dólares) y WazirX (julio de 2024; 234.9 millones de dólares).

Este cambio de enfoque de DeFi a servicios centralizados resalta la creciente importancia de los mecanismos de seguridad comúnmente utilizados por los hackers (como las claves privadas). En 2024, la filtración de claves privadas representó la mayor proporción de criptomonedas robadas, alcanzando el 43.8%. Para los servicios centralizados, garantizar la seguridad de las claves privadas es crucial, ya que controlan el acceso a los activos de los usuarios. Dado que los intercambios centralizados gestionan grandes cantidades de fondos de usuarios, el impacto de la filtración de claves privadas puede ser devastador; solo tenemos que mirar el hackeo de DMM Bitcoin, valorado en 305 millones de dólares, que es uno de los mayores exploits de criptomonedas hasta la fecha y que podría haber ocurrido debido a una mala gestión de claves privadas o falta de seguridad adecuada.

Después de la filtración de claves privadas, los actores maliciosos suelen lavar los fondos robados a través de intercambios descentralizados (DEX), servicios de minería o servicios de mezcla, lo que confunde las trayectorias de las transacciones y complica el rastreo. Para 2024, podemos observar que las actividades de lavado de los hackers de claves privadas son muy diferentes de las actividades de lavado de otros medios de ataque. Por ejemplo, después de robar claves privadas, estos hackers a menudo recurren a servicios de puente y mezcla. Para otros medios de ataque, los intercambios descentralizados se utilizan con mayor frecuencia para actividades de lavado.

En 2024, los hackers norcoreanos robarán más dinero de las plataformas de criptomonedas que nunca

Los hackers relacionados con Corea del Norte son notorios por sus métodos complejos y despiadados, a menudo utilizando software malicioso avanzado, ingeniería social y robo de criptomonedas para financiar acciones respaldadas por el estado y evadir sanciones internacionales. Funcionarios estadounidenses e internacionales evalúan que Pyongyang utiliza criptomonedas robadas para financiar sus programas de armas de destrucción masiva y misiles balísticos, lo que representa una amenaza para la seguridad internacional. Hasta 2023, los hackers relacionados con Corea del Norte habían robado aproximadamente 660.5 millones de dólares en 20 incidentes; para 2024, esta cifra aumentó a 1.34 mil millones de dólares en 47 incidentes, con un aumento del 102.88% en el valor robado. Estas cifras representan el 61% del total de robos en el año y el 20% del total de incidentes.

Cabe señalar que, en el informe del año pasado, publicamos información sobre cómo Corea del Norte robó mil millones de dólares a través de 20 ataques. Tras una investigación más profunda, determinamos que algunos de los grandes ataques atribuidos previamente a Corea del Norte pueden no ser relevantes, reduciendo la cifra a 660.5 millones de dólares. Sin embargo, el número de incidentes se mantuvo constante, ya que encontramos otros ataques de hackers más pequeños atribuibles a Corea del Norte. A medida que obtenemos nuevas pruebas en la cadena y fuera de ella, nuestro objetivo es reevaluar continuamente nuestras evaluaciones sobre los incidentes de hacking relacionados con Corea del Norte.

Desafortunadamente, los ataques de criptomonedas de Corea del Norte parecen volverse cada vez más frecuentes. En la siguiente figura, examinamos el tiempo promedio entre el éxito de los ataques de DPRK según la escala de explotación, y encontramos que la frecuencia de ataques de diversos tamaños ha disminuido interanualmente. Es notable que los ataques de entre 50 y 100 millones de dólares, así como los de más de 100 millones de dólares, ocurrieron con mayor frecuencia en 2024 que en 2023, lo que indica que Corea del Norte está mejorando su rendimiento y rapidez en ataques masivos. Esto contrasta marcadamente con los dos años anteriores, donde sus beneficios por ataque solían ser inferiores a 50 millones de dólares.

Al comparar las actividades de Corea del Norte con todas las demás actividades de hacking que estamos monitoreando, es evidente que Corea del Norte ha sido responsable de la mayoría de los ataques masivos en los últimos tres años. Curiosamente, el monto de los ataques de hackers norcoreanos ha sido menor, especialmente la densidad de ataques de hackers alrededor de 10,000 dólares también ha aumentado constantemente.

Algunos de estos incidentes parecen estar relacionados con profesionales de TI norcoreanos que están infiltrándose cada vez más en empresas de criptomonedas y Web3, comprometiendo sus redes, operaciones e integridad. Estos empleados a menudo utilizan estrategias, técnicas y procedimientos (TTP) complejos, como identidades falsas, contratación de intermediarios de reclutamiento de terceros y manipulación de oportunidades de trabajo remoto para obtener acceso. En un caso reciente, el Departamento de Justicia de EE. UU. acusó el miércoles a 14 ciudadanos norcoreanos que trabajaban como profesionales de TI remotos en EE. UU. Las empresas ganaron más de 88 millones de dólares al robar información propietaria y extorsionar a sus empleadores.

Para mitigar estos riesgos, las empresas deben priorizar una exhaustiva debida diligencia en el empleo, que incluya verificaciones de antecedentes y validación de identidad, mientras mantienen una fuerte seguridad de claves privadas para proteger activos clave (si corresponde).

A pesar de que todas estas tendencias sugieren que Corea del Norte ha estado muy activa este año, la mayor parte de sus ataques ocurrieron a principios de año, y la actividad general de hacking se estancó en el tercer y cuarto trimestre, como se indicó en los gráficos anteriores.

A finales de junio de 2024, el presidente ruso Vladimir Putin y el líder norcoreano Kim Jong-un también celebrarán una cumbre en Pyongyang para firmar un acuerdo de defensa común. Hasta ahora este año, Rusia ha liberado activos norcoreanos previamente congelados por valor de millones de dólares en virtud de las sanciones del Consejo de Seguridad de la ONU, lo que marca un desarrollo continuo de la alianza entre ambos países. Al mismo tiempo, Corea del Norte ha desplegado tropas en Ucrania, proporcionando misiles balísticos a Rusia y, según informes, también ha solicitado tecnología avanzada en espacio, misiles y submarinos a Moscú.

Si comparamos las pérdidas diarias promedio del exploit de DPRK antes y después del 1 de julio de 2024, podemos ver que el monto robado ha disminuido significativamente. Como se muestra en la figura a continuación, el monto robado por Corea del Norte disminuyó en aproximadamente un 53.73%, mientras que el monto robado por actores no norcoreanos aumentó en aproximadamente un 5%. Por lo tanto, además de redirigir recursos militares hacia el conflicto en Ucrania, Corea del Norte, que ha reforzado significativamente su cooperación con Rusia en los últimos años, también podría haber cambiado sus actividades de ciberdelito.

La disminución en el monto robado por Corea del Norte después del 1 de julio de 2024 es evidente, así como el momento, pero es importante señalar que esta disminución no necesariamente está relacionada con la visita de Putin a Pyongyang. Además, algunos incidentes que ocurren en diciembre podrían cambiar esta tendencia a fin de año, y los atacantes a menudo llevan a cabo ataques durante los períodos festivos.

Estudio de caso: el ataque de Corea del Norte a DMM Bitcoin

Un ejemplo notable de ataques de hackers relacionados con Corea del Norte en 2024 involucra al intercambio de criptomonedas japonés DMM Bitcoin, que fue hackeado, resultando en la pérdida de aproximadamente 4,502.9 bitcoins, valorados en 305 millones de dólares en ese momento. Los atacantes se aprovecharon de las vulnerabilidades en la infraestructura utilizada por DMM, lo que llevó a retiros no autorizados. En respuesta, DMM, con el apoyo de su empresa matriz, buscó fondos equivalentes para reembolsar completamente los depósitos de los clientes.

Pudimos analizar el flujo de fondos en la cadena después del ataque inicial; en la primera fase, vimos que los atacantes transferían criptomonedas por valor de millones de dólares desde DMM Bitcoin a varias direcciones intermedias, que finalmente llegaban al servidor de mezcla de Bitcoin CoinJoin.

Después de mezclar con éxito los fondos robados utilizando el servicio de mezcla CoinJoin de Bitcoin, los atacantes transfirieron parte de los fondos a Huioneguarantee a través de algunos servicios de puente. Este es un mercado en línea relacionado con el grupo empresarial camboyano Huione Group, un actor importante en el campo de la facilitación del crimen cibernético.

DMM Bitcoin ha trasladado sus activos y cuentas de clientes a la subsidiaria SBI VC Trade del grupo financiero japonés SBI, con una transición programada para completarse en marzo de 2025. Afortunadamente, están surgiendo nuevas herramientas y tecnologías predictivas, que exploraremos en la siguiente sección, para prepararse para prevenir la ocurrencia de ataques destructivos como este.

Uso de modelos predictivos para prevenir ataques de hackers

Las tecnologías predictivas avanzadas están transformando la ciberseguridad al detectar en tiempo real riesgos y amenazas potenciales, proporcionando un enfoque proactivo para proteger los ecosistemas digitales. Demos un vistazo al siguiente ejemplo, que involucra al proveedor de liquidez descentralizado UwU Lend.

El 10 de junio de 2024, los atacantes manipularon el sistema de oráculos de precios de UwU Lend, obteniendo aproximadamente 20 millones de dólares en fondos. Los atacantes lanzaron un ataque de préstamo relámpago para alterar el precio de Ethena Staked USDe (sUSDe) en múltiples oráculos, lo que resultó en una valoración incorrecta. Por lo tanto, los atacantes pudieron pedir prestados millones de dólares en siete minutos. Hexagate detectó el contrato de ataque y sus despliegues similares aproximadamente dos días antes de la explotación.

A pesar de que el contrato de ataque fue detectado con precisión en tiempo real dos días antes de la explotación, su conexión con el contrato explotado no se hizo evidente de inmediato debido a razones de diseño. Con herramientas adicionales como los oráculos de seguridad de Hexagate, se puede aprovechar aún más esta detección temprana para mitigar la amenaza. Es notable que el primer ataque, que resultó en una pérdida de 8.2 millones de dólares, ocurrió unos minutos antes de los ataques subsiguientes, lo que proporciona otra señal importante.

Las alertas emitidas antes de ataques significativos en la cadena tienen el potencial de cambiar la seguridad de los participantes de la industria, permitiéndoles prevenir ataques costosos en lugar de simplemente responder a ellos.

En la siguiente figura, vemos que los atacantes transfirieron los fondos robados a través de dos direcciones intermedias antes de que llegaran al mezclador de contratos inteligentes de Ethereum Tornado Cash, aprobado por OFAC.

Sin embargo, es importante tener en cuenta que simplemente acceder a estos modelos predictivos no garantiza la prevención de ataques de hackers, ya que los protocolos pueden no siempre tener las herramientas adecuadas para actuar de manera efectiva.

Necesidad de una seguridad criptográfica más fuerte

El aumento de las criptomonedas robadas en 2024 resalta la necesidad de la industria de abordar un panorama de amenazas cada vez más complejo y en constante evolución. Aunque la escala del robo de criptomonedas no ha regresado a los niveles de 2021 y 2022, el resurgimiento mencionado resalta las brechas en las medidas de seguridad existentes y la importancia de adaptarse a nuevos métodos de explotación. Para abordar estos desafíos de manera efectiva, la colaboración entre el sector público y privado es esencial. Los programas de intercambio de datos, las soluciones de seguridad en tiempo real, las herramientas de rastreo avanzadas y la capacitación específica pueden permitir a los interesados identificar y eliminar rápidamente a los actores maliciosos, al tiempo que construyen la resiliencia necesaria para proteger los activos de criptomonedas.

Además, a medida que el marco regulatorio de las criptomonedas evoluciona, el escrutinio sobre la seguridad de las plataformas y la protección de los activos de los clientes podría intensificarse. Las mejores prácticas de la industria deben mantenerse al día con estos cambios para garantizar la prevención y la rendición de cuentas. Al establecer asociaciones más sólidas con las fuerzas del orden y proporcionar recursos y experiencia para una respuesta rápida a los equipos, la industria de las criptomonedas puede fortalecer su capacidad para prevenir robos. Estos esfuerzos son esenciales no solo para proteger los activos individuales, sino también para construir confianza y estabilidad a largo plazo en el ecosistema digital.