El robo de criptomonedas se estima en 2200 millones de dólares en 2024, pero los volúmenes pirateados se estancan hacia fin de año a medida que la RPDC desacelera su actividad después de julio

Fuente original: Chainalysis

Compilación original: Tao Zhu, Golden Finance

Los hackeos de criptomonedas siguen siendo una amenaza constante, con más de mil millones de dólares en criptomonedas robadas en cuatro de los últimos diez años (2018, 2021, 2022 y 2023). 2024 marca el quinto año desde que se alcanzó este preocupante hito, lo que destaca que a medida que aumentan la adopción y los precios de las criptomonedas, también aumenta la cantidad que se puede robar.

En 2024, los fondos robados aumentaron aproximadamente un 21,07% interanual hasta los 2.200 millones de dólares, y el número de incidentes de piratería individual aumentó de 282 en 2023 a 303 en 2024.

Curiosamente, la intensidad de los hackeos de criptomonedas cambió alrededor de la primera mitad de este año. En nuestra actualización de mitad de año sobre delitos, observamos que el valor acumulado robado entre enero y julio de 2024 alcanzó los 1.580 millones de dólares, aproximadamente un 84,4 % más que el valor robado en el mismo período de 2023. Como podemos ver en el gráfico a continuación, el ecosistema está bien encaminado a finales de julio, y el año rivaliza con 2021 y 2022, con más de 3.000 millones de dólares. Sin embargo, la tendencia al alza en el robo de criptomonedas en 2024 se desaceleró significativamente después de julio y se ha mantenido relativamente estable desde entonces. Más adelante exploraremos las posibles razones geopolíticas de este cambio.

En 2024 también surgieron patrones interesantes en términos de la cantidad robada por tipo de plataforma de víctima. Durante la mayoría de los trimestres de 2021 a 2023, las plataformas de finanzas descentralizadas (DeFi) fueron el objetivo principal de los piratas informáticos de criptomonedas. Las plataformas DeFi pueden ser más vulnerables a los ataques porque sus desarrolladores tienden a priorizar el rápido crecimiento y la comercialización de productos en lugar de implementar medidas de seguridad, lo que las convierte en objetivos principales para los piratas informáticos.

Si bien DeFi siguió representando la mayor proporción de activos robados en el primer trimestre de 2024, los servicios centralizados fueron los más atacados en el segundo y tercer trimestre. Algunos de los hacks de servicios centralizados más notables incluyen DMM Bitcoin (mayo de 2024; 305 millones de dólares) y WazirX (julio de 2024; 234,9 millones de dólares).

Este cambio de enfoque de DeFi a servicios centralizados resalta la creciente importancia de los mecanismos de seguridad comúnmente utilizados por los piratas informáticos, como las claves privadas. En 2024, las violaciones de claves privadas representaron la mayor proporción de criptomonedas robadas, con un 43,8%. Para los servicios centralizados, mantener seguras las claves privadas es fundamental, ya que controlan el acceso a los activos de los usuarios. Dadas las grandes cantidades de fondos de los usuarios administrados por los intercambios centralizados, el impacto de una filtración de clave privada podría ser devastador, solo necesitamos mirar el hackeo de DMM Bitcoin de $305 millones, una de las mayores violaciones de criptomonedas hasta la fecha y posiblemente se produzca debido a problemas privados; gestión de claves o falta de seguridad adecuada.

Después de filtrar claves privadas, los actores maliciosos a menudo lavan fondos robados a través de intercambios descentralizados (DEX), servicios de minería o servicios mixtos, confundiendo los rastros de transacciones y complicando el seguimiento. Para 2024, podríamos ver que el lavado de dinero por parte de piratas informáticos con claves privadas difiere significativamente del lavado de dinero por parte de piratas informáticos que aprovechan otros vectores de ataque. Por ejemplo, después de robar claves privadas, estos piratas informáticos suelen recurrir a servicios híbridos y de puente. Entre otros vectores de ataque, los intercambios descentralizados se utilizan más comúnmente para actividades de lavado de dinero.

Los piratas informáticos norcoreanos robarán más que nunca de las plataformas criptográficas en 2024

Los piratas informáticos vinculados a Corea del Norte son conocidos por sus tácticas sofisticadas y despiadadas, que a menudo utilizan malware avanzado, ingeniería social y robo de criptomonedas para financiar operaciones patrocinadas por el Estado y eludir sanciones internacionales. Funcionarios estadounidenses e internacionales han evaluado que Pyongyang utiliza criptomonedas robadas para financiar sus programas de armas de destrucción masiva y misiles balísticos, poniendo en peligro la seguridad internacional. Para 2023, los piratas informáticos vinculados a Corea del Norte robarían aproximadamente 660,5 millones de dólares en 20 incidentes; para 2024, esta cifra aumentó a 1.340 millones de dólares en 47 incidentes, un aumento del 102,88% en el valor robado. Estas cifras representaron el 61% del monto total robado ese año y el 20% del total de incidentes.

Tenga en cuenta que en el informe del año pasado publicamos información de que Corea del Norte había robado mil millones de dólares mediante 20 ataques de piratería. Después de una investigación más profunda, determinamos que ciertos grandes ataques anteriormente atribuidos a Corea del Norte podrían ya no ser relevantes, por lo que la cantidad se redujo a 660,5 millones de dólares. Sin embargo, el número de incidentes siguió siendo el mismo, ya que descubrimos otros ataques más pequeños atribuidos a Corea del Norte. Nuestro objetivo es reevaluar continuamente nuestra evaluación de los incidentes de piratería relacionados con Corea del Norte a medida que obtengamos nueva evidencia dentro y fuera de la cadena.

Desafortunadamente, los ataques a criptomonedas de Corea del Norte parecen ser cada vez más frecuentes. En el siguiente gráfico, examinamos el tiempo promedio entre ataques exitosos a la RPDC según el tamaño del exploit y observamos disminuciones año tras año en todos los tamaños. En particular, los ataques por valor de entre 50 y 100 millones de dólares y más de 100 millones de dólares ocurrirán con mucha más frecuencia en 2024 que en 2023, lo que sugiere que Corea del Norte está mejorando y siendo más rápida en ataques a gran escala. Esto contrasta marcadamente con los dos años anteriores, donde las ganancias tendieron a ser inferiores a 50 millones de dólares cada una.

Al comparar las actividades de Corea del Norte con todas las demás campañas de piratería informática que monitoreamos, queda claro que Corea del Norte ha sido responsable de la mayoría de los ataques a gran escala en los últimos tres años. Curiosamente, los hackeos norcoreanos tienen un valor menor, especialmente alrededor de 10.000 dólares, y la densidad de los hackeos está aumentando.

Algunos de estos incidentes parecen estar relacionados con profesionales de TI de Corea del Norte que se están infiltrando cada vez más en empresas de criptomonedas y Web3, comprometiendo sus redes, operaciones e integridad. Estos empleados suelen utilizar tácticas, técnicas y procedimientos (TTP) sofisticados, como identidades falsas, contratación de agencias de contratación de terceros y manipulación de oportunidades de trabajo remoto para obtener acceso. En el último caso, el Departamento de Justicia de Estados Unidos (DOJ) acusó el miércoles a 14 ciudadanos norcoreanos que trabajaban como profesionales de TI remotos en Estados Unidos. Las empresas ganaron más de 88 millones de dólares robando información patentada y extorsionando a los empleadores.

Para mitigar estos riesgos, las empresas deben priorizar una debida diligencia laboral exhaustiva, incluidas verificaciones de antecedentes y verificación de identidad, manteniendo al mismo tiempo una sólida seguridad de clave privada para proteger los activos críticos, cuando corresponda.

Si bien todas estas tendencias apuntan a que Corea del Norte estará muy activa este año, la mayoría de sus ataques ocurrieron a principios de año, y la actividad general de piratería se estancó en el tercer y cuarto trimestre, como se muestra en el gráfico anterior.

A finales de junio de 2024, el presidente ruso Vladimir Putin y el líder norcoreano Kim Jong Un también celebrarán una cumbre en Pyongyang para firmar un acuerdo de defensa mutua. En lo que va del año, Rusia ha liberado millones de dólares en activos norcoreanos previamente congelados bajo las sanciones del Consejo de Seguridad de la ONU, lo que indica una creciente alianza entre los dos países. Mientras tanto, Corea del Norte ha desplegado tropas en Ucrania, suministrado misiles balísticos a Rusia y, según se informa, ha buscado tecnología espacial, de misiles y submarina avanzada de Moscú.

Si comparamos las pérdidas diarias promedio por las vulnerabilidades de la RPDC antes y después del 1 de julio de 2024, podemos ver una disminución significativa en la cantidad de valor robado. Como se muestra en el gráfico siguiente, la cantidad robada por Corea del Norte se redujo aproximadamente un 53,73%, mientras que la cantidad robada por países no norcoreanos aumentó aproximadamente un 5%. Por lo tanto, además de destinar recursos militares al conflicto en Ucrania, Corea del Norte, que ha aumentado significativamente su cooperación con Rusia en los últimos años, también puede haber cambiado sus actividades cibercriminales.

La disminución del robo en Corea del Norte después del 1 de julio de 2024 es clara y el momento es claro, pero vale la pena señalar que esta disminución no está necesariamente ligada a la visita de Putin a Pyongyang. Además, algunos eventos en diciembre pueden cambiar este patrón a fin de año, y los atacantes suelen lanzar ataques durante las vacaciones.

Estudio de caso: Ataque de Corea del Norte a DMM Bitcoin

Un ejemplo notable de un hack relacionado con Corea del Norte en 2024 involucró al intercambio japonés de criptomonedas DMM Bitcoin, que sufrió un hack que resultó en la pérdida de aproximadamente 4.502,9 Bitcoins, con un valor de 305 millones de dólares en ese momento. Los atacantes atacaron vulnerabilidades en la infraestructura utilizada por los DMM, lo que resultó en retiros no autorizados. En este sentido, DMM, con el apoyo de las empresas del grupo, paga íntegramente los depósitos de los clientes encontrando fondos equivalentes.

Pudimos analizar los flujos de fondos en cadena después del ataque inicial, y en la primera fase vimos a los atacantes mover millones de dólares en criptomonedas desde DMM Bitcoin a varias direcciones intermedias antes de llegar finalmente al servidor de mezcla Bitcoin CoinJoin.

Después de mezclar con éxito los fondos robados utilizando el servicio de mezcla Bitcoin CoinJoin, los atacantes movieron algunos de los fondos a través de algunos servicios puente a Huioneguarantee, un mercado en línea asociado con el conglomerado camboyano Huione Group, un actor importante en este campo. Facilitar el cibercrimen.

DMM Bitcoin ha transferido sus activos y cuentas de clientes a SBI VC Trade, una subsidiaria del conglomerado financiero japonés SBI Group, y la transición se completará en marzo de 2025. Afortunadamente, están surgiendo herramientas y técnicas predictivas que exploraremos en la siguiente sección para prepararlo para evitar que se produzcan ataques tan destructivos.

Detenga a los piratas informáticos con modelos predictivos

Las tecnologías predictivas avanzadas están transformando la ciberseguridad al detectar riesgos y amenazas potenciales en tiempo real, proporcionando un enfoque proactivo para proteger los ecosistemas digitales. Veamos el siguiente ejemplo, que involucra al proveedor de liquidez descentralizado UwU Lend.

El 10 de junio de 2024, los atacantes obtuvieron aproximadamente 20 millones de dólares en fondos manipulando el sistema de oráculo de precios de UwU Lend. El atacante lanzó un ataque de préstamo rápido para cambiar el precio de Ethena Staked USDe (sUSDe) en múltiples oráculos, lo que resultó en valoraciones incorrectas. Como resultado, un atacante puede pedir prestado millones de dólares en sólo siete minutos. Hexagate detectó el contrato de ataque y su implementación similar aproximadamente dos días antes del exploit.

Aunque el contrato atacante se detectó con precisión en tiempo real dos días antes de que se explotara la vulnerabilidad, su conexión con el contrato explotado no fue evidente de inmediato debido a su diseño. Esta detección temprana se puede aprovechar aún más para mitigar las amenazas con herramientas adicionales como los oráculos de seguridad de Hexagate. En particular, el primer ataque, que provocó pérdidas por 8,2 millones de dólares, se produjo minutos antes de los ataques posteriores, lo que proporcionó otra señal importante.

Estas alertas antes de ataques importantes a la cadena tienen el potencial de transformar la seguridad de los actores de la industria, permitiéndoles prevenir por completo ataques costosos en lugar de responder a ellos.

En la imagen a continuación, vemos que el atacante movió los fondos robados a través de dos direcciones intermedias antes de que los fondos llegaran a Tornado Cash, un mezclador de contratos inteligentes Ethereum aprobado por la OFAC.

Sin embargo, vale la pena señalar que el mero acceso a estos modelos predictivos no garantiza la protección contra los piratas informáticos, ya que es posible que los protocolos no siempre cuenten con las herramientas adecuadas para actuar de manera efectiva.

Necesidad de una seguridad criptográfica más sólida

El aumento de las criptomonedas robadas en 2024 pone de relieve la necesidad de que la industria responda a un panorama de amenazas cada vez más complejo y en evolución. Si bien la escala del robo de criptomonedas aún no ha regresado a los niveles de 2021 y 2022, el resurgimiento mencionado anteriormente resalta las brechas en las medidas de seguridad existentes y la importancia de adaptarse a nuevos métodos de explotación. Para abordar eficazmente estos desafíos, la colaboración entre los sectores público y privado es crucial. Los programas de intercambio de datos, las soluciones de seguridad en tiempo real, las herramientas de seguimiento avanzadas y la capacitación específica pueden permitir a las partes interesadas identificar y neutralizar rápidamente a los actores maliciosos y, al mismo tiempo, desarrollar la resiliencia necesaria para proteger los criptoactivos.

Además, a medida que el marco regulatorio de las criptomonedas continúa evolucionando, es probable que aumente el escrutinio de la seguridad de la plataforma y la protección de los activos de los clientes. Las mejores prácticas de la industria deben seguir el ritmo de estos cambios para garantizar la prevención y la rendición de cuentas. Al construir asociaciones más sólidas con las fuerzas del orden y brindar a los equipos los recursos y la experiencia para responder rápidamente, la industria de las criptomonedas puede fortalecer sus capacidades de prevención de robos. Estos esfuerzos son fundamentales no sólo para proteger los activos personales, sino también para generar confianza y estabilidad a largo plazo en el ecosistema digital.

Enlace original