Source : Chainalysis

Compilation : Tao Zhu, Golden Finance

Les attaques de hackers de cryptomonnaies demeurent une menace persistante, avec quatre des dix dernières années ayant vu plus d'un milliard de dollars de cryptomonnaies volées (2018, 2021, 2022 et 2023). 2024 sera la cinquième année atteignant ce jalon inquiétant, soulignant qu'avec l'adoption croissante des cryptomonnaies et l'augmentation des prix, le montant pouvant être volé augmente également.

En 2024, le montant des fonds volés a augmenté d'environ 21,07 % par rapport à l'année précédente, atteignant 2,2 milliards de dollars, et le nombre d'incidents de hacking individuels est passé de 282 en 2023 à 303 en 2024.

Fait intéressant, l'intensité des attaques de hackers de cryptomonnaies a changé au cours du premier semestre de cette année. Dans notre mise à jour criminelle de mi-année, nous avons noté que la valeur cumulative volée entre janvier 2024 et juillet 2024 avait atteint 1,58 milliard de dollars, soit environ 84,4 % de plus que la valeur volée au cours de la même période en 2023. Comme nous le voyons dans le graphique ci-dessous, l'écosystème est sur une bonne voie, cette année pouvant rivaliser avec les 3 milliards de dollars des années 2021 et 2022. Cependant, la tendance à la hausse des vols de cryptomonnaies en 2024 a clairement ralenti après juillet, restant relativement stable par la suite. Plus tard, nous examinerons les raisons géopolitiques potentielles de ce changement.

En ce qui concerne le montant volé classé par type de plateforme victime, 2024 présente également des schémas intéressants. Au cours de la plupart des trimestres de 2021 à 2023, les plateformes de finance décentralisée (DeFi) étaient les principales cibles des hackers de cryptomonnaie. Les plateformes DeFi peuvent être plus vulnérables aux attaques car leurs développeurs ont tendance à privilégier la croissance rapide et le lancement de produits plutôt que la mise en œuvre de mesures de sécurité, ce qui les rend des cibles de choix pour les hackers.

Bien que le premier trimestre 2024 ait vu les DeFi représenter la plus grande part des actifs volés, les services centralisés étaient les plus ciblés au deuxième et au troisième trimestre. Parmi les attaques de services centralisés les plus notables figurent DMM Bitcoin (mai 2024 ; 305 millions de dollars) et WazirX (juillet 2024 ; 234,9 millions de dollars).

Ce changement de focalisation des DeFi vers les services centralisés souligne l'importance croissante des mécanismes de sécurité généralement utilisés par les hackers (comme les clés privées). En 2024, la fuite de clés privées représentait la plus grande part de la cryptomonnaie volée, atteignant 43,8 %. Pour les services centralisés, il est crucial d'assurer la sécurité des clés privées, car elles contrôlent l'accès aux actifs des utilisateurs. Étant donné que les échanges centralisés gèrent d'importants fonds d'utilisateurs, l'impact d'une fuite de clés privées peut être dévastateur ; il suffit de considérer le piratage de DMM Bitcoin d'une valeur de 305 millions de dollars, l'une des plus grandes violations de cryptomonnaie à ce jour, qui pourrait être due à une mauvaise gestion des clés privées ou à un manque de sécurité adéquate.

Après la fuite de clés privées, les acteurs malveillants lavent souvent les fonds volés via des échanges décentralisés (DEX), des services de minage ou des services de mixage, confondant ainsi les pistes de transaction et rendant le suivi plus compliqué. D'ici 2024, nous pouvons voir que les activités de blanchiment d'argent des hackers de clés privées diffèrent considérablement de celles des hackers utilisant d'autres vecteurs d'attaque. Par exemple, après le vol de clés privées, ces hackers se tournent souvent vers des services de pont et de mixage. Pour d'autres vecteurs d'attaque, les échanges décentralisés sont plus fréquemment utilisés pour les activités de blanchiment d'argent.

En 2024, le montant volé par des hackers nord-coréens sur les plateformes de cryptomonnaie sera plus élevé que jamais.

Les hackers liés à la Corée du Nord sont tristement célèbres pour leurs méthodes complexes et impitoyables, utilisant souvent des logiciels malveillants avancés, l'ingénierie sociale et le vol de cryptomonnaies pour financer des opérations soutenues par l'État et contourner les sanctions internationales. Les responsables américains et internationaux estiment que Pyongyang utilise les cryptomonnaies volées pour financer ses programmes d'armes de destruction massive et de missiles balistiques, menaçant la sécurité internationale. D'ici 2023, les hackers liés à la Corée du Nord auront volé environ 660,5 millions de dollars à travers 20 incidents ; d'ici 2024, ce chiffre augmentera à 1,34 milliard de dollars à travers 47 incidents, une augmentation de la valeur volée de 102,88 %. Ces chiffres représentent 61 % du montant total volé cette année-là et 20 % du nombre total d'incidents.

Veuillez noter que dans notre rapport de l'année dernière, nous avons publié que la Corée du Nord avait volé 1 milliard de dollars à travers 20 attaques de hackers. Après enquête plus approfondie, nous avons déterminé que certaines des grandes attaques de hackers précédemment attribuées à la Corée du Nord pourraient ne plus être pertinentes, réduisant ainsi le montant à 660,5 millions de dollars. Cependant, le nombre d'incidents est resté constant, car nous avons découvert d'autres attaques de hackers de moindre envergure attribuées à la Corée du Nord. Lorsque nous obtiendrons de nouvelles preuves sur la chaîne et hors chaîne, notre objectif est de réévaluer en continu nos évaluations des incidents de hacking liés à la Corée du Nord.

Malheureusement, les attaques de cryptomonnaie de la Corée du Nord semblent devenir de plus en plus fréquentes. Dans le graphique ci-dessous, nous examinons le temps moyen entre les attaques réussies de la RPDC en fonction de l'échelle des violations, découvrant que la fréquence des attaques de toutes tailles a diminué d'une année sur l'autre. Fait intéressant, les attaques d'une valeur de 50 millions à 100 millions de dollars et celles de plus de 100 millions de dollars se produisent beaucoup plus fréquemment qu'en 2023, indiquant que la Corée du Nord excelle de plus en plus dans les attaques de grande envergure, et ce, à un rythme croissant. Cela contraste fortement avec les deux années précédentes, où ses bénéfices par attaque étaient souvent inférieurs à 50 millions de dollars.

En comparant les activités de la Corée du Nord avec toutes les autres activités de hacking que nous surveillons, il est évident que la Corée du Nord a été responsable de la plupart des grandes attaques au cours des trois dernières années. Fait intéressant, les montants des attaques par des hackers nord-coréens sont plus faibles, tandis que la densité des attaques d'une valeur d'environ 10 000 dollars augmente également.

Certains de ces incidents semblent liés à des professionnels de l'informatique nord-coréens, qui infiltrent de plus en plus les entreprises de cryptomonnaie et de Web3, compromettant leur cybersécurité, leurs opérations et leur intégrité. Ces employés utilisent souvent des stratégies, techniques et procédures (TTP) complexes, comme des identités fictives, le recrutement par des intermédiaires tiers et la manipulation des opportunités de travail à distance pour obtenir un accès. Dans un cas récent, le ministère de la Justice des États-Unis a inculpé 14 ressortissants nord-coréens travaillant à distance pour des entreprises américaines. Ils ont gagné plus de 88 millions de dollars en volant des informations propriétaires et en faisant du chantage à leurs employeurs.

Pour atténuer ces risques, les entreprises devraient prioriser des vérifications approfondies des antécédents d'embauche - y compris des vérifications de référence et des vérifications d'identité - tout en maintenant une sécurité robuste des clés privées pour protéger les actifs critiques (le cas échéant).

Bien que toutes ces tendances indiquent que la Corée du Nord a été très active cette année, la plupart de ses attaques se sont produites au début de l'année, et l'activité globale de hacking a stagné au troisième et au quatrième trimestre, comme le montre le graphique précédent.

À la fin juin 2024, le président russe Vladimir Poutine et le leader nord-coréen Kim Jong-un tiendront également un sommet à Pyongyang pour signer un accord de défense commune. Jusqu'à présent cette année, la Russie a libéré des millions de dollars d'actifs nord-coréens précédemment gelés en vertu des sanctions du Conseil de sécurité des Nations unies, marquant l'évolution continue de l'alliance entre les deux pays. Pendant ce temps, la Corée du Nord a déployé des troupes en Ukraine et fourni des missiles balistiques à la Russie, tout en cherchant apparemment à obtenir des technologies avancées dans les domaines spatial, des missiles et des sous-marins.

Si nous comparons les pertes quotidiennes dues aux vulnérabilités de la RPDC avant et après le 1er juillet 2024, nous pouvons voir que les montants volés ont considérablement diminué. Comme illustré ci-dessous, le montant volé par la Corée du Nord a diminué d'environ 53,73 %, tandis que le montant volé par d'autres a augmenté d'environ 5 %. Ainsi, en plus de rediriger des ressources militaires vers le conflit en Ukraine, la Corée du Nord, qui a considérablement renforcé sa coopération avec la Russie ces dernières années, pourrait également changer ses activités de cybercriminalité.

Après le 1er juillet 2024, la baisse des fonds volés par la Corée du Nord sera évidente, le timing également, mais il convient de noter que cette baisse n'est pas nécessairement liée à la visite de Poutine à Pyongyang. De plus, certains événements qui se produiront en décembre pourraient modifier ce schéma à la fin de l'année, et les attaquants lancent souvent des attaques pendant les périodes de vacances.

Étude de cas : L'attaque de la Corée du Nord contre DMM Bitcoin

Un exemple notoire d'attaques de hackers liées à la Corée du Nord en 2024 concerne la bourse de cryptomonnaie japonaise DMM Bitcoin, qui a été piratée, entraînant la perte d'environ 4 502,9 bitcoins, d'une valeur de 305 millions de dollars à l'époque. Les attaquants ont ciblé une vulnérabilité dans l'infrastructure utilisée par DMM, entraînant des retraits non autorisés. En réponse, DMM, avec le soutien de sa société mère, a remboursé intégralement les dépôts des clients en recherchant des fonds équivalents.

Nous avons pu analyser le flux de fonds sur la chaîne après l'attaque initiale, et dans la première phase, nous avons vu les attaquants transférer des cryptomonnaies d'une valeur de plusieurs millions de dollars de DMM Bitcoin vers plusieurs adresses intermédiaires, puis finalement vers un serveur de mixage Bitcoin CoinJoin.

Après avoir réussi à mixer des fonds volés via le service de mixage CoinJoin Bitcoin, les attaquants ont transféré une partie des fonds vers Huioneguarantee, un marché en ligne lié au groupe d'entreprises cambodgien Huione Group, un acteur majeur facilitant la cybercriminalité.

DMM Bitcoin a transféré ses actifs et comptes clients à sa filiale SBI VC Trade du groupe financier japonais SBI, la transition devant être achevée d'ici mars 2025. Heureusement, de nouveaux outils et technologies prédictives émergent, que nous explorerons dans la section suivante pour se préparer à prévenir de telles attaques destructrices.

Utiliser des modèles prédictifs pour prévenir les attaques de hackers

Les technologies prédictives avancées transforment la cybersécurité en détectant en temps réel les risques et menaces potentiels, offrant une approche proactive pour protéger l'écosystème numérique. Examinons l'exemple ci-dessous, impliquant le fournisseur de liquidité décentralisé UwU Lend.

Le 10 juin 2024, des attaquants ont manipulé le système d'oracle de prix d'UwU Lend, obtenant environ 20 millions de dollars de fonds. Les attaquants ont lancé une attaque par prêt flash pour manipuler le prix de l'Ethena Staked USDe (sUSDe) sur plusieurs oracles, entraînant une évaluation incorrecte. Ainsi, les attaquants ont pu emprunter des millions de dollars en sept minutes. Hexagate a détecté le contrat d'attaque et ses déploiements similaires environ deux jours avant l'exploitation.

Bien que le contrat d'attaque ait été détecté en temps réel avec précision deux jours avant l'exploitation, en raison de sa conception, son lien avec le contrat exploité ne s'est pas immédiatement révélé. Avec des outils tels que les oracles de sécurité de Hexagate, cette détection précoce pourrait être exploitée pour atténuer les menaces. Il convient de noter que la première attaque, entraînant des pertes de 8,2 millions de dollars, s'est produite quelques minutes avant les attaques suivantes, fournissant un autre signal important.

Les alertes émises avant des attaques majeures sur la chaîne ont le potentiel de modifier la sécurité des acteurs industriels, leur permettant de prévenir complètement des attaques coûteuses au lieu d'y réagir.

Dans le graphique ci-dessous, nous voyons que les attaquants ont transféré des fonds volés à travers deux adresses intermédiaires avant d'atteindre le mixeur de contrats intelligents Ethereum Tornado Cash, approuvé par l'OFAC.

Cependant, il convient de noter que l'accès à ces modèles prédictifs ne garantit pas la prévention des attaques de hackers, car les protocoles ne disposent pas toujours des outils appropriés pour agir efficacement.

Un besoin de sécurité cryptographique plus robuste

L'augmentation des cryptomonnaies volées en 2024 souligne la nécessité pour l'industrie de faire face à un paysage de menaces de plus en plus complexe et en constante évolution. Bien que l'ampleur des vols de cryptomonnaies ne soit pas encore revenue aux niveaux de 2021 et 2022, le regain susmentionné met en lumière les lacunes des mesures de sécurité existantes et l'importance de s'adapter aux nouvelles méthodes d'exploitation. Afin de répondre efficacement à ces défis, la collaboration entre le secteur public et le secteur privé est essentielle. Les programmes de partage de données, les solutions de sécurité en temps réel, les outils de suivi avancés et la formation ciblée peuvent permettre aux parties prenantes d'identifier et d'éliminer rapidement les acteurs malveillants, tout en construisant la résilience nécessaire pour protéger les actifs cryptographiques.

De plus, avec l'évolution continue du cadre réglementaire des cryptomonnaies, l'examen de la sécurité des plateformes et de la protection des actifs des clients pourrait être renforcé. Les meilleures pratiques du secteur doivent suivre ces changements pour garantir la prévention et la responsabilité. En établissant des partenariats plus solides avec les forces de l'ordre et en fournissant à l'équipe des ressources et une expertise en matière de réponse rapide, l'industrie des cryptomonnaies peut renforcer ses capacités de prévention des vols. Ces efforts sont cruciaux non seulement pour protéger les actifs individuels, mais aussi pour établir une confiance et une stabilité à long terme dans l'écosystème numérique.