Fuente: Chainalysis; Compilado por: Tao Zhu, Jinse Finance

Los ataques de hackers de criptomonedas siguen siendo una amenaza persistente, con cuatro de los últimos diez años viendo más de mil millones de dólares en criptomonedas robadas (2018, 2021, 2022 y 2023). 2024 es el quinto año en alcanzar este inquietante hito, lo que resalta que a medida que aumenta la adopción y el precio de las criptomonedas, también aumenta la cantidad que puede ser robada.

En 2024, el valor de los fondos robados aumentó aproximadamente un 21.07% interanual, alcanzando los 2.2 mil millones de dólares, y el número de eventos de hackeo individuales aumentó de 282 en 2023 a 303 en 2024.

minJ6AdbAzIr93rtphMGqfnqFH86fvC2kCYLrsn4.jpegEs interesante notar que la intensidad de los ataques de hackers de criptomonedas ha cambiado alrededor de la primera mitad de este año. En nuestra actualización de delitos a mitad de año, notamos que el valor acumulado robado entre enero de 2024 y julio de 2024 alcanzó los 1.58 mil millones de dólares, aproximadamente un 84.4% más que el valor robado en el mismo período de 2023. Como vemos en el gráfico a continuación, hacia finales de julio, el ecosistema parecía estar en camino, comparable a los más de 3 mil millones de dólares de 2021 y 2022. Sin embargo, la tendencia al alza de los robos de criptomonedas en 2024 se desaceleró notablemente después de julio y se mantuvo relativamente estable. Más adelante exploraremos las posibles razones geopolíticas de este cambio.

m3V7NqXp1UDZ6WkHp9QAZKYrHSDP5A5vYpEtnXY8.jpeg

En términos de montos robados desglosados por tipo de plataforma víctima, 2024 también presenta patrones interesantes. En la mayoría de los trimestres de 2021 a 2023, las plataformas de finanzas descentralizadas (DeFi) fueron el objetivo principal de los hackers de criptomonedas. Las plataformas DeFi pueden ser más vulnerables a ataques debido a que sus desarrolladores tienden a priorizar el rápido crecimiento y la introducción de productos en el mercado en lugar de implementar medidas de seguridad, lo que las convierte en un blanco atractivo para los hackers.

Aunque en el primer trimestre de 2024 DeFi sigue representando la mayor parte de los activos robados, los servicios centralizados fueron los más atacados en el segundo y tercer trimestre. Algunos de los ataques más notables a servicios centralizados incluyen DMM Bitcoin (mayo de 2024; 305 millones de dólares) y WazirX (julio de 2024; 234.9 millones de dólares).

UnPkZQOqMsaIPIdikcioDAPDZh6wGxeiiPrNxIbt.jpeg

Este cambio de enfoque de DeFi a servicios centralizados resalta la creciente importancia de los mecanismos de seguridad comunes utilizados por los hackers (como las claves privadas). En 2024, las filtraciones de claves privadas constituyeron la mayor proporción de criptomonedas robadas, alcanzando el 43.8%. Para los servicios centralizados, asegurar la seguridad de las claves privadas es crucial, ya que controlan el acceso a los activos de los usuarios. Dado que los intercambios centralizados gestionan grandes sumas de fondos de usuarios, el impacto de la filtración de claves privadas puede ser devastador; solo hay que observar el incidente de hackeo de DMM Bitcoin, que tuvo un valor de 305 millones de dólares, uno de los mayores fallos de seguridad en criptomonedas hasta la fecha, que pudo haber ocurrido debido a una mala gestión de claves privadas o falta de seguridad adecuada.

fQW0bbhcN6KcIiLeq9ytIC4gRRgKKXzX0njBC99k.jpeg

Después de la filtración de claves privadas, los actores maliciosos generalmente lavan los fondos robados a través de intercambios descentralizados (DEX), servicios de minería o servicios de mezcla, lo que oscurece la trayectoria de las transacciones y complica el seguimiento. Para 2024, podemos ver que las actividades de lavado de hackers que roban claves privadas son muy diferentes de las de hackers que utilizan otros medios de ataque. Por ejemplo, después de robar claves privadas, estos hackers a menudo se dirigen a servicios de puente y mezcla. Para otros medios de ataque, los intercambios descentralizados se utilizan con más frecuencia para actividades de lavado.

3Wuj4og3n1ht93TESVzy9ouLFuzwJJXMLVN8axQQ.jpeg

En 2024, la cantidad que los hackers norcoreanos roban de las plataformas criptográficas será mayor que nunca.

Los hackers relacionados con Corea del Norte son infames por sus métodos complejos y despiadados, a menudo utilizando malware avanzado, ingeniería social y robo de criptomonedas para financiar acciones patrocinadas por el estado y evadir sanciones internacionales. Funcionarios estadounidenses e internacionales estiman que Pyongyang utiliza criptomonedas robadas para financiar su programa de armas de destrucción masiva y misiles balísticos, amenazando la seguridad internacional. Hasta 2023, los hackers relacionados con Corea del Norte habrán robado aproximadamente 660.5 millones de dólares a través de 20 incidentes; para 2024, esta cifra aumentó a 1.34 mil millones de dólares en 47 incidentes, con un aumento del 102.88% en el valor robado. Estas cifras representan el 61% del total robado durante el año y el 20% del número total de incidentes.

Es importante tener en cuenta que en el informe del año pasado publicamos información sobre cómo Corea del Norte robó mil millones de dólares a través de 20 ataques de hackers. Tras una investigación más profunda, determinamos que algunos de los grandes ataques de hackers anteriormente atribuidos a Corea del Norte pueden no ser relevantes, reduciendo así la cantidad a 660.5 millones de dólares. Sin embargo, el número de incidentes se mantuvo constante, ya que identificamos otros ataques de hackers de menor escala atribuidos a Corea del Norte. A medida que obtenemos nuevas evidencias en la cadena y fuera de ella, nuestro objetivo es reevaluar continuamente nuestras evaluaciones de eventos de hackers relacionados con Corea del Norte.

6PwlHopjIh3YQGfHDiYFxa3Lwi6LHwocT4PPyJdd.jpeg

Desafortunadamente, los ataques de criptomonedas de Corea del Norte parecen volverse cada vez más frecuentes. En la figura a continuación, examinamos el tiempo promedio entre los ataques exitosos de la DPRK según el tamaño de la explotación, y encontramos que la frecuencia de ataques de varios tamaños ha disminuido interanualmente. Es notable que los ataques de entre 50 y 100 millones de dólares y aquellos de más de 100 millones de dólares ocurrieron con mucha más frecuencia en 2024 en comparación con 2023, lo que indica que Corea del Norte está mejorando y acelerando su capacidad para realizar ataques masivos. Esto contrasta marcadamente con los dos años anteriores, donde sus ganancias por ataque a menudo eran inferiores a 50 millones de dólares.

M9NrVEr7Bmr9lBpkmS9bHlVwo0OsSsiBhOMr27Ot.jpeg

Al comparar la actividad de Corea del Norte con todos los demás ataques de hackers que monitoreamos, queda claro que Corea del Norte ha sido responsable de la mayoría de los ataques masivos en los últimos tres años. Es interesante que el monto de los ataques de hackers de Corea del Norte sea relativamente bajo, especialmente la densidad de ataques de hackers alrededor del valor de 10,000 dólares también ha ido en aumento.

Fy4FnCPPLvZIwBxpte6H7w60l19dPMcAo76QwyjU.jpeg

Algunos de estos incidentes parecen estar relacionados con profesionales de TI de Corea del Norte, quienes están infiltrándose cada vez más en empresas de criptomonedas y Web3, comprometiendo sus redes, operaciones e integridad. Estos empleados a menudo utilizan estrategias, técnicas y procedimientos (TTP) complejos, como identidades falsas, contratación de intermediarios de reclutamiento de terceros y manipulación de oportunidades de trabajo remoto para obtener acceso. En un caso reciente, el Departamento de Justicia de EE. UU. (DOJ) acusó a 14 ciudadanos norcoreanos que trabajaban como profesionales de TI remotos en EE. UU.

Para mitigar estos riesgos, las empresas deben priorizar una exhaustiva debida diligencia de contratación, que incluya verificaciones de antecedentes y validación de identidad, al tiempo que mantienen una sólida seguridad de claves privadas para proteger activos críticos (si corresponde).

A pesar de que todas estas tendencias indican que Corea del Norte ha estado muy activa este año, la mayoría de sus ataques ocurrieron a principios de año, y la actividad general de hacking se estancó en el tercer y cuarto trimestre, como se mostró en los gráficos anteriores.

dkZ8DjiPY3AoRpHMD20RuYBMZZAkNT5cPuzoHrT7.jpeg

A finales de junio de 2024, el presidente ruso Vladimir Putin y el líder norcoreano Kim Jong-un también celebrarán una cumbre en Pyongyang para firmar un acuerdo de defensa conjunta. Hasta ahora, este año, Rusia ha liberado millones de dólares en activos norcoreanos previamente congelados bajo las sanciones del Consejo de Seguridad de la ONU, lo que marca el continuo desarrollo de la alianza entre ambos países. Al mismo tiempo, Corea del Norte ha desplegado tropas en Ucrania y ha proporcionado misiles balísticos a Rusia, y se informa que también ha buscado tecnología avanzada en el espacio, misiles y submarinos de Moscú.

Si comparamos las pérdidas diarias promedio de vulnerabilidades de la DPRK antes y después del 1 de julio de 2024, podemos ver una disminución significativa en la cantidad de valor robado. Como se muestra en la figura a continuación, la cantidad robada por Corea del Norte disminuyó aproximadamente un 53.73%, mientras que la cantidad robada por actores no norcoreanos aumentó alrededor del 5%. Por lo tanto, además de desviar recursos militares hacia el conflicto en Ucrania, Corea del Norte, que ha fortalecido significativamente su cooperación con Rusia en los últimos años, también puede haber cambiado su actividad de cibercrimen.

LhryntjNb2L3byMCN0jxOVm6GzJ4D6C0ud1PgkMF.jpeg

La disminución de los fondos robados por Corea del Norte después del 1 de julio de 2024 es evidente, y el momento también es claro, pero es importante señalar que esta disminución no necesariamente está relacionada con la visita de Putin a Pyongyang. Además, algunos incidentes ocurridos en diciembre podrían cambiar este patrón a finales de año, y los atacantes a menudo lanzan ataques durante las vacaciones.

Estudio de caso: el ataque de Corea del Norte a DMM Bitcoin

Un ejemplo notable de ataques de hackers relacionados con Corea del Norte en 2024 involucra a la plataforma de intercambio de criptomonedas DMM Bitcoin, que fue hackeada y perdió alrededor de 4,502.9 bitcoins, que en ese momento tenían un valor de 305 millones de dólares. Los atacantes aprovecharon una vulnerabilidad en la infraestructura utilizada por DMM, lo que resultó en retiros no autorizados. En respuesta, DMM, con el apoyo de su empresa matriz, cubrió el total de los depósitos de sus clientes buscando fondos equivalentes.

Pudimos analizar el flujo de fondos en la cadena después del ataque inicial. En la primera fase, observamos que los atacantes transfirieron criptomonedas por valor de millones de dólares desde DMM Bitcoin a varias direcciones intermedias, que finalmente llegaron a un servidor de mezcla Bitcoin CoinJoin.

n2SmBjbuTWsyz5OKWVX3Dh9q8Hrw7Qgb2fNvAAl9.jpeg

Después de mezclar con éxito los fondos robados utilizando el servicio de mezcla CoinJoin de Bitcoin, los atacantes transfirieron parte de los fondos a Huioneguarantee a través de algunos servicios de puente. Este último es un mercado en línea relacionado con el grupo empresarial camboyano Huione Group, un actor importante en el ámbito de facilitar cibercrímenes.

3DDOS2tjEDyWcYzmLPR27S4Sc016YRx1gd8yQ4Vf.jpeg

DMM Bitcoin ha transferido sus activos y cuentas de clientes a la filial del grupo financiero japonés SBI, SBI VC Trade, con una transición programada para completarse en marzo de 2025. Afortunadamente, están surgiendo herramientas emergentes y tecnologías de predicción que exploraremos en la siguiente sección para prepararnos para prevenir la ocurrencia de ataques de hackers destructivos.

Uso de modelos de predicción para prevenir ataques de hackers

Las tecnologías de predicción avanzadas están transformando la ciberseguridad al detectar riesgos y amenazas potenciales en tiempo real, ofreciendo un enfoque proactivo para proteger los ecosistemas digitales. Echemos un vistazo al siguiente ejemplo, que involucra al proveedor de liquidez descentralizado UwU Lend.

El 10 de junio de 2024, los atacantes obtuvieron aproximadamente 20 millones de dólares al manipular el sistema de oráculos de precios de UwU Lend. Los atacantes llevaron a cabo un ataque de préstamo relámpago para alterar el precio de Ethena Staked USDe (sUSDe) en varios oráculos, lo que resultó en valoraciones incorrectas. Así, los atacantes pudieron pedir prestados millones de dólares en solo siete minutos. Hexagate detectó el contrato de ataque y su implementación similar aproximadamente dos días antes de la explotación.

A pesar de que el contrato de ataque fue detectado en tiempo real con precisión dos días antes de la explotación, su conexión con el contrato explotado no se hizo evidente de inmediato debido a su diseño. Con herramientas como el oráculo de seguridad de Hexagate, se puede aprovechar aún más esta detección temprana para mitigar la amenaza. Es notable que el primer ataque, que resultó en una pérdida de 8.2 millones de dólares, ocurrió minutos antes de un ataque posterior, lo que proporciona otra señal importante.

Las alertas emitidas antes de ataques significativos en la cadena tienen el potencial de cambiar la seguridad de los participantes de la industria, capacitándolos para prevenir ataques de hackers costosos en lugar de solo responder a ellos.

59DXjYwczvFvXvVbujglt57Jg7tpCGPTmkXHQ6XZ.jpeg

En la siguiente figura, vemos que los atacantes transfirieron los fondos robados a través de dos direcciones intermedias antes de que llegaran al mezclador de contratos inteligentes de Ethereum aprobado por OFAC, Tornado Cash.

bULNHgVtsnh9uSSULtVyPgyjRSToijouh5CGtYCg.jpeg

Sin embargo, es importante señalar que simplemente acceder a estos modelos de predicción no garantiza que se prevengan ataques de hackers, ya que los protocolos pueden no siempre tener las herramientas adecuadas para actuar efectivamente.

Necesidad de una mayor seguridad criptográfica

El aumento de criptomonedas robadas en 2024 resalta la necesidad de la industria de abordar un panorama de amenazas cada vez más complejo y en evolución. Aunque el volumen de robos de criptomonedas no ha vuelto a los niveles de 2021 y 2022, el resurgimiento mencionado resalta las brechas en las medidas de seguridad existentes y la importancia de adaptarse a los nuevos métodos de explotación. Para enfrentar eficazmente estos desafíos, la colaboración entre el sector público y privado es crucial. Los programas de intercambio de datos, soluciones de seguridad en tiempo real, herramientas de seguimiento avanzadas y capacitación específica pueden capacitar a las partes interesadas para identificar y eliminar rápidamente a los actores maliciosos, mientras construyen la resiliencia necesaria para proteger los activos criptográficos.

Además, a medida que el marco regulatorio de las criptomonedas sigue evolucionando, el escrutinio sobre la seguridad de las plataformas y la protección de los activos de los clientes podría intensificarse. Las mejores prácticas de la industria deben mantenerse al día con estos cambios para asegurar la prevención y la responsabilidad. Al establecer asociaciones más sólidas con las fuerzas del orden y proporcionar a los equipos los recursos y conocimientos necesarios para una respuesta rápida, la industria de las criptomonedas puede mejorar su capacidad para prevenir robos. Estos esfuerzos son cruciales no solo para proteger los activos individuales, sino también para establecer confianza y estabilidad a largo plazo en el ecosistema digital.