Source : Chainalysis ; Compilation : Tao Zhu, Jinse Finance
Les attaques de hackers de crypto-monnaies restent une menace persistante, avec plus de 10 milliards de dollars de crypto-monnaies volés au cours de quatre des dix dernières années (2018, 2021, 2022 et 2023). 2024 sera la cinquième année atteignant ce jalon troublant, soulignant qu'avec l'adoption et la hausse des prix des crypto-monnaies, le montant volé augmente également.
En 2024, les fonds volés ont augmenté d'environ 21,07 % d'une année sur l'autre, atteignant 2,2 milliards de dollars, le nombre d'incidents de piratage individuel passant de 282 en 2023 à 303 en 2024.
Il est intéressant de noter que l'intensité des attaques de hackers de crypto-monnaies a changé au cours de la première moitié de cette année. Dans notre mise à jour criminelle de mi-année, nous avons noté que la valeur cumulée volée entre janvier 2024 et juillet 2024 avait atteint 1,58 milliard de dollars, soit environ 84,4 % de plus que la valeur volée au cours de la même période en 2023. Comme nous le voyons dans le graphique ci-dessous, d'ici la fin juillet, l'écosystème est facilement sur la bonne voie, cette année étant comparable aux 3 milliards de dollars des années 2021 et 2022. Cependant, la tendance à la hausse des crypto-monnaies volées en 2024 s'est clairement atténuée après juillet, maintenant une relative stabilité par la suite. Nous examinerons plus tard les raisons géopolitiques potentielles de ce changement.
En termes de montant volé par type de plateforme victime, 2024 a également vu des modèles intéressants. Au cours de la plupart des trimestres de 2021 à 2023, les plateformes de finance décentralisée (DeFi) ont été les principales cibles des hackers de crypto-monnaies. Les plateformes DeFi peuvent être plus vulnérables aux attaques car leurs développeurs ont tendance à privilégier une croissance rapide et à mettre leurs produits sur le marché, plutôt que de mettre en œuvre des mesures de sécurité, ce qui en fait des cibles principales pour les hackers.
Bien que le DeFi ait encore représenté la plus grande part des actifs volés au premier trimestre 2024, les services centralisés ont été les plus ciblés au deuxième et troisième trimestre. Parmi les attaques de services centralisés les plus connues, citons DMM Bitcoin (mai 2024 ; 305 millions de dollars) et WazirX (juillet 2024 ; 234,9 millions de dollars).
Ce changement de focus des services DeFi vers les services centralisés souligne l'importance croissante des mécanismes de sécurité couramment utilisés par les hackers (comme les clés privées). En 2024, la fuite de clés privées représente la plus grande proportion des crypto-monnaies volées, atteignant 43,8 %. Pour les services centralisés, il est crucial d'assurer la sécurité des clés privées, car elles contrôlent l'accès aux actifs des utilisateurs. Étant donné que les échanges centralisés gèrent d'importants fonds d'utilisateurs, l'impact d'une fuite de clés privées peut être dévastateur ; il suffit de regarder l'incident de piratage de DMM Bitcoin d'une valeur de 305 millions de dollars, qui est l'une des plus grandes violations de crypto-monnaies à ce jour, et qui pourrait être survenue en raison d'une mauvaise gestion des clés privées ou d'un manque de sécurité adéquate.
Après la fuite de la clé privée, les acteurs malveillants lavent généralement les fonds volés via des échanges décentralisés (DEX), des services de minage ou des services de mélange, ce qui rend la traçabilité des transactions plus complexe. D'ici 2024, nous pouvons voir que les activités de blanchiment d'argent des pirates de clés privées diffèrent considérablement de celles des pirates utilisant d'autres vecteurs d'attaque. Par exemple, après le vol de la clé privée, ces pirates se tournent souvent vers des services de pont et de mélange. Pour d'autres vecteurs d'attaque, les échanges décentralisés sont plus souvent utilisés pour les activités de blanchiment d'argent.
En 2024, les hackers nord-coréens voleront plus de fonds sur des plateformes cryptographiques que jamais auparavant.
Les hackers liés à la Corée du Nord sont notoires pour leurs méthodes complexes et impitoyables, utilisant souvent des logiciels malveillants avancés, l'ingénierie sociale et le vol de crypto-monnaies pour financer des actions soutenues par l'État et contourner les sanctions internationales. Les responsables américains et internationaux estiment que Pyongyang utilise les crypto-monnaies volées pour financer ses programmes d'armes de destruction massive et de missiles balistiques, menaçant la sécurité internationale. D'ici 2023, les hackers liés à la Corée du Nord devraient voler environ 660,5 millions de dollars via 20 incidents ; d'ici 2024, ce chiffre augmentera à 1,34 milliard de dollars à travers 47 incidents, une augmentation de 102,88 % de la valeur volée. Ces chiffres représentent 61 % du montant total volé cette année et 20 % du nombre total d'incidents.
Veuillez noter que dans le rapport de l'année dernière, nous avons publié l'information selon laquelle la Corée du Nord avait volé 1 milliard de dollars via 20 attaques de hackers. Après enquête supplémentaire, nous avons déterminé que certaines des grandes attaques de hackers précédemment attribuées à la Corée du Nord pourraient ne plus être pertinentes, réduisant ainsi le montant à 660,5 millions de dollars. Cependant, le nombre d'incidents est resté constant, car nous avons découvert d'autres attaques de hackers plus petites attribuées à la Corée du Nord. Lorsque nous obtenons de nouvelles preuves en chaîne et hors chaîne, notre objectif est de réévaluer en continu notre évaluation des incidents de piratage liés à la Corée du Nord.
Malheureusement, les attaques de crypto-monnaies de la Corée du Nord semblent devenir de plus en plus fréquentes. Dans le graphique ci-dessous, nous examinons le temps moyen entre les succès des attaques DPRK en fonction de l'ampleur de l'exploitation, constatant que la fréquence des attaques de toutes tailles a diminué d'une année sur l'autre. Il est à noter que les attaques d'une valeur de 50 à 100 millions de dollars et celles de plus de 100 millions de dollars se produisent beaucoup plus fréquemment qu'en 2023, ce qui indique que la Corée du Nord devient de plus en plus efficace et rapide dans ses attaques à grande échelle. Cela contraste fortement avec les deux années précédentes où ses bénéfices par attaque étaient souvent inférieurs à 50 millions de dollars.
Lors de la comparaison des activités de la Corée du Nord avec toutes les autres activités de piratage que nous surveillons, il est clair que la Corée du Nord a été responsable de la plupart des attaques de grande envergure au cours des trois dernières années. Fait intéressant, les montants des attaques de hackers nord-coréens sont plus faibles, en particulier la densité des attaques d'une valeur d'environ 10 000 dollars continue d'augmenter.
Certains de ces incidents semblent impliquer des travailleurs en informatique nord-coréens qui infiltrent de plus en plus les entreprises de crypto-monnaies et de Web3, compromettant leurs réseaux, leurs opérations et leur intégrité. Ces employés utilisent souvent des stratégies, techniques et procédures (TTP) complexes, telles que l'utilisation de fausses identités, l'embauche d'agences de recrutement tierces et la manipulation des opportunités de travail à distance pour obtenir un accès. Dans un récent cas, le ministère américain de la Justice (DOJ) a inculpé mercredi 14 citoyens nord-coréens travaillant à distance dans des fonctions informatiques aux États-Unis. Les entreprises ont gagné plus de 88 millions de dollars en volant des informations propriétaires et en faisant du chantage à leurs employeurs.
Pour atténuer ces risques, les entreprises doivent donner la priorité à une diligence raisonnable approfondie lors de l'embauche - y compris des vérifications de fond et des validations d'identité - tout en maintenant une sécurité robuste des clés privées pour protéger les actifs critiques (le cas échéant).
Bien que toutes ces tendances indiquent une grande activité de la Corée du Nord cette année, la plupart de ses attaques se sont produites en début d'année, l'activité globale des hackers stagnait au troisième et au quatrième trimestre, comme le montre le graphique précédent.
À la fin juin 2024, le président russe Vladimir Poutine et le leader nord-coréen Kim Jong-un se réuniront également à Pyongyang pour signer un accord de défense commune. Jusqu'à présent cette année, la Russie a libéré des millions de dollars d'avoirs nord-coréens précédemment gelés, en conformité avec les sanctions du Conseil de sécurité des Nations Unies, marquant une évolution continue de l'alliance entre les deux pays. Pendant ce temps, la Corée du Nord a déployé des troupes en Ukraine, fournissant des missiles balistiques à la Russie et cherchant apparemment des technologies avancées en matière de spatial, de missiles et de sous-marins auprès de Moscou.
Si nous comparons les pertes moyennes quotidiennes dues aux vulnérabilités DPRK avant et après le 1er juillet 2024, nous pouvons voir que le montant volé a considérablement diminué. Comme indiqué dans le graphique ci-dessous, le montant volé par la Corée du Nord a diminué d'environ 53,73 %, tandis que le montant volé par d'autres entités a augmenté d'environ 5 %. Ainsi, en plus de rediriger les ressources militaires vers le conflit en Ukraine, la Corée du Nord, qui a considérablement renforcé sa coopération avec la Russie ces dernières années, pourrait également changer ses activités de cybercriminalité.
La diminution des fonds volés par la Corée du Nord après le 1er juillet 2024 est évidente et le timing est également clair, mais il convient de noter que cette diminution n'est pas nécessairement liée à la visite de Poutine à Pyongyang. De plus, certains incidents qui se produisent en décembre pourraient modifier ce modèle à la fin de l'année, et les attaquants lancent souvent des attaques pendant les périodes de vacances.
Étude de cas : L'attaque de la Corée du Nord contre DMM Bitcoin.
Un exemple notable d'attaques de hackers liées à la Corée du Nord en 2024 concerne l'échange de crypto-monnaies japonais DMM Bitcoin, qui a été piraté, entraînant une perte d'environ 4 502,9 bitcoins, d'une valeur de 305 millions de dollars à l'époque. Les attaquants ont exploité une vulnérabilité dans l'infrastructure utilisée par DMM, entraînant des retraits non autorisés. En réponse, DMM, avec le soutien de sa société mère, a cherché à compenser intégralement les dépôts des clients en trouvant des fonds équivalents.
Nous avons pu analyser les flux de fonds en chaîne après l'attaque initiale, dans la première phase, nous avons vu les attaquants transférer des crypto-monnaies d'une valeur de plusieurs millions de dollars de DMM Bitcoin vers plusieurs adresses intermédiaires, puis finalement vers des serveurs de mélange Bitcoin CoinJoin.
Après avoir réussi à mélanger des fonds volés en utilisant le service de mélange Bitcoin CoinJoin, les attaquants ont transféré une partie des fonds vers Huioneguarantee via certains services de pont, un marché en ligne lié au groupe d'entreprises cambodgiennes Huione Group, qui est un acteur majeur dans le domaine du cybercrime.
DMM Bitcoin a transféré ses actifs et comptes clients à une filiale du groupe financier japonais SBI, SBI VC Trade, la transition devant être achevée d'ici mars 2025. Heureusement, de nouveaux outils et technologies prédictives émergent, que nous explorerons dans la prochaine section, afin de se préparer à prévenir la survenue de telles attaques destructrices.
Utiliser des modèles prédictifs pour prévenir les attaques de hackers.
Les technologies prédictives avancées transforment la cybersécurité en détectant en temps réel les risques et menaces potentiels, offrant ainsi une approche proactive pour protéger les écosystèmes numériques. Examinons l'exemple ci-dessous, impliquant le fournisseur de liquidité décentralisé UwU Lend.
Le 10 juin 2024, des attaquants ont obtenu environ 20 millions de dollars de fonds en manipulant le système oracle de prix d'UwU Lend. Les attaquants ont lancé une attaque par prêt flash pour modifier le prix de l'Ethena Staked USDe (sUSDe) sur plusieurs oracles, entraînant une évaluation incorrecte. Ainsi, les attaquants ont pu emprunter des millions de dollars en sept minutes. Hexagate a détecté le contrat d'attaque et ses déploiements similaires environ deux jours avant l'exploitation de la vulnérabilité.
Bien que le contrat d'attaque ait été détecté avec précision en temps réel deux jours avant l'exploitation, en raison de sa conception, le lien avec le contrat exploité n'est pas apparu immédiatement. Avec d'autres outils tels que les oracles de sécurité Hexagate, cette détection précoce peut être exploitée pour atténuer la menace. Il est à noter que la première attaque, qui a entraîné une perte de 8,2 millions de dollars, s'est produite quelques minutes avant les attaques ultérieures, fournissant un autre signal important.
De tels alertes émises avant de graves attaques en chaîne pourraient changer la sécurité des acteurs de l'industrie, leur permettant de prévenir complètement des attaques de hackers coûteuses, plutôt que de simplement y répondre.
Dans le graphique ci-dessous, nous voyons que les attaquants ont transféré des fonds volés via deux adresses intermédiaires avant que les fonds n'atteignent le mélangeur de contrats intelligents Ethereum Tornado Cash, approuvé par l'OFAC.
Cependant, il convient de noter que l'accès à ces modèles prédictifs ne garantit pas la prévention des attaques de hackers, car les protocoles peuvent ne pas toujours disposer des outils appropriés pour agir efficacement.
Besoin de sécurité cryptographique plus forte.
L'augmentation des crypto-monnaies volées en 2024 met en évidence la nécessité pour l'industrie de faire face à des menaces de plus en plus complexes et évolutives. Bien que l'ampleur du vol de crypto-monnaies ne soit pas encore revenue aux niveaux de 2021 et 2022, le retour en force mentionné ci-dessus souligne les lacunes des mesures de sécurité existantes et l'importance de s'adapter aux nouvelles méthodes d'exploitation. Pour faire face efficacement à ces défis, la coopération entre le secteur public et privé est essentielle. Les programmes de partage de données, les solutions de sécurité en temps réel, les outils de suivi avancés et la formation ciblée peuvent permettre aux parties prenantes d'identifier et d'éliminer rapidement les acteurs malveillants tout en établissant la résilience nécessaire pour protéger les actifs cryptographiques.
De plus, à mesure que le cadre réglementaire des crypto-monnaies continue d'évoluer, la révision de la sécurité des plateformes et de la protection des actifs des clients pourrait se renforcer. Les meilleures pratiques de l'industrie doivent suivre ces changements pour garantir la prévention et la responsabilité. En établissant des partenariats plus solides avec les organes d'application de la loi et en fournissant à leurs équipes des ressources et une expertise pour une réponse rapide, l'industrie des crypto-monnaies peut renforcer sa capacité à prévenir le vol. Ces efforts sont non seulement cruciaux pour protéger les actifs individuels, mais aussi pour établir une confiance et une stabilité à long terme dans l'écosystème numérique.