Sumber: Chainalysis; Disusun oleh: Tao Zhu, Jinse Finance

Serangan peretasan cryptocurrency tetap menjadi ancaman yang terus ada, dengan lebih dari 1 miliar dolar cryptocurrency dicuri dalam empat tahun dari sepuluh tahun terakhir (2018, 2021, 2022, dan 2023). Tahun 2024 adalah tahun kelima untuk mencapai tonggak yang mengganggu ini, menyoroti bahwa seiring dengan adopsi cryptocurrency dan kenaikan harga, jumlah yang bisa dicuri juga meningkat.

Pada tahun 2024, dana yang dicuri meningkat sekitar 21,07% dibandingkan tahun sebelumnya, mencapai 2,2 miliar dolar, dengan jumlah insiden peretasan individu meningkat dari 282 pada tahun 2023 menjadi 303 pada tahun 2024.

minJ6AdbAzIr93rtphMGqfnqFH86fvC2kCYLrsn4.jpegMenariknya, intensitas serangan peretasan cryptocurrency berubah sekitar paruh pertama tahun ini. Dalam pembaruan kejahatan tengah tahun kami, kami mencatat bahwa nilai kumulatif yang dicuri antara Januari 2024 dan Juli 2024 telah mencapai 1,58 miliar dolar, meningkat sekitar 84,4% dibandingkan dengan nilai yang dicuri pada periode yang sama di tahun 2023. Seperti yang kami lihat di grafik di bawah ini, pada akhir Juli, ekosistem dengan mudah kembali ke jalurnya, dan tahun ini bisa dibandingkan dengan lebih dari 3 miliar dolar pada tahun 2021 dan 2022. Namun, tren peningkatan pencurian cryptocurrency pada tahun 2024 menunjukkan perlambatan yang jelas setelah bulan Juli, dan kemudian tetap relatif stabil. Nanti, kami akan mengeksplorasi alasan geopolitik yang mendasari perubahan ini.

m3V7NqXp1UDZ6WkHp9QAZKYrHSDP5A5vYpEtnXY8.jpeg

Dari segi jumlah yang dicuri berdasarkan jenis platform korban, tahun 2024 juga menunjukkan pola yang menarik. Dalam sebagian besar kuartal antara 2021 hingga 2023, platform keuangan terdesentralisasi (DeFi) adalah target utama peretasan cryptocurrency. Platform DeFi mungkin lebih rentan terhadap serangan karena pengembang mereka cenderung memprioritaskan pertumbuhan cepat dan meluncurkan produk, alih-alih menerapkan langkah-langkah keamanan, yang menjadikannya target utama bagi para peretas.

Meskipun DeFi masih menyumbang proporsi terbesar dari aset yang dicuri pada kuartal pertama 2024, layanan terpusat adalah yang paling menjadi target di kuartal kedua dan ketiga. Beberapa serangan peretasan layanan terpusat yang paling terkenal termasuk DMM Bitcoin (Mei 2024; 305 juta dolar) dan WazirX (Juli 2024; 234,9 juta dolar).

UnPkZQOqMsaIPIdikcioDAPDZh6wGxeiiPrNxIbt.jpeg

Peralihan fokus dari DeFi ke layanan terpusat menyoroti semakin pentingnya mekanisme keamanan yang sering digunakan oleh para peretas (seperti kunci pribadi). Pada tahun 2024, kebocoran kunci pribadi menyumbang proporsi terbesar dari cryptocurrency yang dicuri, mencapai 43,8%. Bagi layanan terpusat, memastikan keamanan kunci pribadi adalah hal yang sangat penting karena mereka mengontrol akses ke aset pengguna. Mengingat bursa terpusat mengelola sejumlah besar dana pengguna, dampak dari kebocoran kunci pribadi bisa sangat merusak; kita hanya perlu melihat insiden peretasan DMM Bitcoin senilai 305 juta dolar, yang merupakan salah satu celah terbesar dalam cryptocurrency hingga saat ini, yang mungkin terjadi karena pengelolaan kunci pribadi yang buruk atau kurangnya keamanan yang memadai.

fQW0bbhcN6KcIiLeq9ytIC4gRRgKKXzX0njBC99k.jpeg

Setelah kebocoran kunci pribadi, pelaku jahat biasanya mencuci dana yang dicuri melalui bursa terdesentralisasi (DEX), layanan penambangan, atau layanan pencampuran untuk membingungkan jejak transaksi dan mempersulit pelacakan. Pada tahun 2024, kami dapat melihat aktivitas pencucian uang oleh peretas yang membobol kunci pribadi sangat berbeda dibandingkan dengan peretas yang menggunakan media serangan lainnya. Misalnya, setelah mencuri kunci pribadi, para peretas ini sering beralih ke layanan jembatan dan pencampuran. Untuk media serangan lainnya, bursa terdesentralisasi lebih sering digunakan untuk aktivitas pencucian uang.

3Wuj4og3n1ht93TESVzy9ouLFuzwJJXMLVN8axQQ.jpeg

Pada tahun 2024, jumlah uang yang dicuri oleh peretas Korea Utara dari platform cryptocurrency akan lebih besar dari sebelumnya.

Peretas yang terkait dengan Korea Utara terkenal karena metode mereka yang kompleks dan tanpa ampun, sering memanfaatkan malware canggih, rekayasa sosial, dan pencurian cryptocurrency untuk membiayai tindakan yang didukung negara dan menghindari sanksi internasional. Pejabat AS dan internasional memperkirakan bahwa Pyongyang menggunakan cryptocurrency yang dicuri untuk mendanai program senjata pemusnah massal dan rudal balistik, yang membahayakan keamanan internasional. Hingga tahun 2023, peretas yang terkait dengan Korea Utara akan mencuri sekitar 660,5 juta dolar melalui 20 insiden; pada tahun 2024, angka ini meningkat menjadi 1,34 miliar dolar dalam 47 insiden, dengan nilai yang dicuri meningkat sebesar 102,88%. Angka-angka ini mewakili 61% dari total jumlah yang dicuri tahun itu, dan 20% dari total insiden.

Perlu dicatat bahwa dalam laporan tahun lalu, kami melaporkan bahwa Korea Utara telah mencuri 1 miliar dolar melalui 20 serangan peretasan. Setelah penyelidikan lebih lanjut, kami menentukan bahwa beberapa serangan peretasan besar yang sebelumnya dikaitkan dengan Korea Utara mungkin tidak lagi relevan, sehingga jumlahnya berkurang menjadi 660,5 juta dolar. Namun, jumlah insiden tetap sama karena kami menemukan serangan peretasan kecil lainnya yang dikaitkan dengan Korea Utara. Ketika kami mendapatkan bukti baru di blockchain dan di luar blockchain, tujuan kami adalah terus mengevaluasi kembali penilaian kami terkait insiden peretasan yang berkaitan dengan Korea Utara.

6PwlHopjIh3YQGfHDiYFxa3Lwi6LHwocT4PPyJdd.jpeg

Sayangnya, serangan cryptocurrency dari Korea Utara tampaknya semakin sering terjadi. Dalam gambar di bawah ini, kami memeriksa waktu rata-rata antara keberhasilan serangan DPRK berdasarkan skala eksploitasi, dan menemukan bahwa berbagai skala serangan mengalami penurunan year-on-year. Penting untuk dicatat bahwa serangan senilai 50 hingga 100 juta dolar serta serangan di atas 100 juta dolar terjadi jauh lebih sering pada tahun 2024 dibandingkan dengan tahun 2023, menunjukkan bahwa Korea Utara semakin baik dan lebih cepat dalam melakukan serangan besar. Ini sangat kontras dengan dua tahun sebelumnya, di mana keuntungan per serangan sering kali kurang dari 50 juta dolar.

M9NrVEr7Bmr9lBpkmS9bHlVwo0OsSsiBhOMr27Ot.jpeg

Saat membandingkan aktivitas Korea Utara dengan semua aktivitas peretasan lain yang kami pantau, jelas bahwa Korea Utara bertanggung jawab atas sebagian besar serangan besar selama tiga tahun terakhir. Menariknya, jumlah serangan peretasan yang dilakukan oleh Korea Utara lebih rendah, terutama dengan meningkatnya kepadatan serangan peretasan di sekitar nilai 10.000 dolar.

Fy4FnCPPLvZIwBxpte6H7w60l19dPMcAo76QwyjU.jpeg

Beberapa insiden ini tampaknya terkait dengan praktisi TI Korea Utara, yang semakin banyak menyusup ke perusahaan cryptocurrency dan Web3, merusak jaringan, operasi, dan integritas mereka. Karyawan ini sering menggunakan strategi, teknik, dan prosedur (TTP) yang kompleks, seperti identitas palsu, mempekerjakan perekrut pihak ketiga, dan memanipulasi peluang kerja jarak jauh untuk mendapatkan akses. Dalam salah satu kasus baru-baru ini, Departemen Kehakiman AS (DOJ) mengajukan tuntutan terhadap 14 warga negara Korea Utara yang bekerja sebagai praktisi TI jarak jauh di AS. Perusahaan ini memperoleh lebih dari 88 juta dolar dengan mencuri informasi berharga dan memeras majikan mereka.

Untuk mengurangi risiko ini, perusahaan harus mengutamakan penyelidikan latar belakang yang menyeluruh - termasuk pemeriksaan latar belakang dan verifikasi identitas - sambil menjaga keamanan kunci pribadi yang kuat untuk melindungi aset penting (jika berlaku).

Meskipun semua tren ini menunjukkan bahwa Korea Utara sangat aktif tahun ini, sebagian besar serangan mereka terjadi di awal tahun, dan aktivitas peretasan secara keseluruhan mengalami stagnasi di kuartal ketiga dan keempat, seperti yang ditunjukkan pada grafik sebelumnya.

dkZ8DjiPY3AoRpHMD20RuYBMZZAkNT5cPuzoHrT7.jpeg

Pada akhir Juni 2024, Presiden Rusia Vladimir Putin dan pemimpin Korea Utara Kim Jong-un juga akan mengadakan pertemuan di Pyongyang untuk menandatangani perjanjian pertahanan bersama. Tahun ini sejauh ini, Rusia telah melepaskan aset Korea Utara yang sebelumnya dibekukan senilai jutaan dolar sesuai dengan sanksi Dewan Keamanan PBB, menandakan perkembangan terus-menerus dari aliansi kedua negara. Sementara itu, Korea Utara telah mengerahkan pasukannya ke Ukraina, menyediakan rudal balistik untuk Rusia, dan dilaporkan juga meminta teknologi luar angkasa, rudal, dan kapal selam canggih dari Moskow.

Jika kita membandingkan kehilangan harian terkait kebocoran DPRK sebelum dan setelah 1 Juli 2024, kita dapat melihat jumlah nilai yang dicuri menurun secara signifikan. Seperti yang ditunjukkan pada gambar berikut, jumlah yang dicuri oleh Korea Utara turun sekitar 53,73%, sementara jumlah yang dicuri oleh non-Korea Utara meningkat sekitar 5%. Oleh karena itu, selain mengalihkan sumber daya militer ke konflik Ukraina, Korea Utara yang dalam beberapa tahun terakhir telah meningkatkan kerjasama dengan Rusia juga mungkin telah mengubah aktivitas kejahatan sibernya.

LhryntjNb2L3byMCN0jxOVm6GzJ4D6C0ud1PgkMF.jpeg

Penurunan pencurian dana oleh Korea Utara setelah 1 Juli 2024 sangat jelas, dan waktunya juga jelas, tetapi penting untuk dicatat bahwa penurunan ini tidak selalu terkait dengan kunjungan Putin ke Pyongyang. Selain itu, beberapa insiden yang terjadi pada bulan Desember mungkin akan mengubah pola ini di akhir tahun, dan penyerang sering melancarkan serangan selama periode liburan.

Studi Kasus: Serangan terhadap DMM Bitcoin oleh Korea Utara

Salah satu contoh terkenal serangan peretasan terkait Korea Utara pada tahun 2024 melibatkan bursa cryptocurrency Jepang DMM Bitcoin, yang diserang peretas, mengakibatkan kerugian sekitar 4.502,9 bitcoin, yang pada saat itu bernilai 305 juta dolar. Penyerang mengeksploitasi kerentanan dalam infrastruktur yang digunakan DMM, yang menyebabkan penarikan dana tanpa izin. Sebagai tanggapan, DMM dengan dukungan dari perusahaan induknya, mencari dana yang setara untuk membayar sepenuhnya simpanan pelanggan.

Kami dapat menganalisis aliran dana di blockchain setelah serangan awal, di mana pada tahap pertama, kami melihat penyerang memindahkan cryptocurrency bernilai jutaan dolar dari DMM Bitcoin ke beberapa alamat perantara, lalu akhirnya menuju server pencampuran Bitcoin CoinJoin.

n2SmBjbuTWsyz5OKWVX3Dh9q8Hrw7Qgb2fNvAAl9.jpeg

Setelah berhasil mencampur dana yang dicuri menggunakan layanan pencampuran Bitcoin CoinJoin, penyerang memindahkan sebagian dana melalui beberapa layanan jembatan ke Huioneguarantee, sebuah pasar daring yang terkait dengan grup bisnis Kamboja Huione Group, yang merupakan pemain penting dalam memfasilitasi kejahatan siber.

3DDOS2tjEDyWcYzmLPR27S4Sc016YRx1gd8yQ4Vf.jpeg

DMM Bitcoin telah memindahkan aset dan akun pelanggan mereka ke anak perusahaan grup keuangan Jepang SBI Group, SBI VC Trade, dengan transisi yang dijadwalkan selesai pada Maret 2025. Untungnya, alat dan teknologi prediksi baru sedang muncul, dan kami akan menjelajahi hal ini di bagian selanjutnya untuk mempersiapkan diri mencegah terjadinya serangan peretasan yang merusak.

Menggunakan model prediksi untuk menghentikan serangan peretasan

Teknologi prediksi canggih yang mendeteksi risiko dan ancaman potensial secara real-time sedang mengubah keamanan siber, menawarkan pendekatan proaktif untuk melindungi ekosistem digital. Mari kita lihat contoh di bawah ini yang melibatkan penyedia likuiditas terdesentralisasi UwU Lend.

Pada 10 Juni 2024, penyerang mendapatkan sekitar 20 juta dolar dengan memanipulasi sistem oracle harga dari UwU Lend. Penyerang melancarkan serangan pinjaman kilat untuk mengubah harga Ethena Staked USDe (sUSDe) di beberapa oracle, yang menyebabkan penilaian yang tidak tepat. Oleh karena itu, penyerang bisa meminjam jutaan dolar dalam tujuh menit. Hexagate mendeteksi kontrak serangan sekitar dua hari sebelum exploitasi.

Meskipun kontrak serangan terdeteksi secara real-time dengan akurasi dua hari sebelum exploitasi, karena alasan desain, keterkaitannya dengan kontrak yang dieksploitasi tidak segera terlihat. Dengan alat lain seperti oracle keamanan Hexagate, deteksi awal ini dapat lebih lanjut dimanfaatkan untuk mengurangi ancaman. Penting untuk dicatat bahwa serangan pertama yang menyebabkan kerugian sebesar 8,2 juta dolar terjadi hanya beberapa menit sebelum serangan selanjutnya, yang memberikan sinyal penting lainnya.

Peringatan semacam ini yang dikeluarkan sebelum serangan besar di blockchain memiliki potensi untuk mengubah keamanan peserta industri, memungkinkan mereka untuk sepenuhnya mencegah serangan peretasan yang mahal, alih-alih hanya meresponsnya.

59DXjYwczvFvXvVbujglt57Jg7tpCGPTmkXHQ6XZ.jpeg

Pada gambar di bawah ini, kami melihat bagaimana penyerang memindahkan dana yang dicuri melalui dua alamat perantara sebelum mencapai pencampur kontrak pintar Ethereum Tornado Cash yang disetujui OFAC.

bULNHgVtsnh9uSSULtVyPgyjRSToijouh5CGtYCg.jpeg

Namun, penting untuk dicatat bahwa hanya mengakses model prediksi ini tidak menjamin pencegahan serangan peretasan, karena protokol mungkin tidak selalu memiliki alat yang tepat untuk mengambil tindakan yang efektif.

Diperlukan keamanan kripto yang lebih kuat

Peningkatan cryptocurrency yang dicuri pada tahun 2024 menyoroti kebutuhan industri untuk menghadapi ancaman yang semakin kompleks dan terus berkembang. Meskipun skala pencurian cryptocurrency belum pulih ke tingkat tahun 2021 dan 2022, kebangkitan yang disebutkan di atas menyoroti kesenjangan dalam langkah-langkah keamanan yang ada dan pentingnya beradaptasi dengan metode eksploitasi baru. Untuk secara efektif menghadapi tantangan ini, kolaborasi antara sektor publik dan swasta sangat penting. Program berbagi data, solusi keamanan real-time, alat pelacakan canggih, dan pelatihan yang ditargetkan dapat memberdayakan pemangku kepentingan untuk dengan cepat mengidentifikasi dan menghilangkan pelaku jahat, sambil membangun ketahanan yang diperlukan untuk melindungi aset kripto.

Selain itu, seiring dengan perkembangan kerangka regulasi cryptocurrency, peninjauan keamanan platform dan perlindungan aset pelanggan dapat diperketat. Praktik terbaik di industri harus mengikuti perubahan ini, memastikan pencegahan dan akuntabilitas. Dengan membangun kemitraan yang lebih kuat dengan lembaga penegak hukum dan memberikan sumber daya serta keahlian respons cepat kepada tim, industri cryptocurrency dapat memperkuat kemampuan mereka untuk mencegah pencurian. Upaya ini sangat penting untuk melindungi aset individu dan juga untuk membangun kepercayaan dan stabilitas jangka panjang dalam ekosistem digital.