Sumber: Chainalysis; disusun oleh Tao Zhu, Jinse Finance
Serangan peretasan cryptocurrency tetap menjadi ancaman yang terus ada, dengan lebih dari 1 miliar dolar cryptocurrency dicuri selama empat tahun terakhir dari sepuluh tahun terakhir (2018, 2021, 2022, dan 2023). Tahun 2024 adalah tahun kelima untuk mencapai tonggak yang mengganggu ini, menyoroti bahwa dengan meningkatnya adopsi dan harga cryptocurrency, jumlah yang dapat dicuri juga meningkat.
Pada tahun 2024, jumlah dana yang dicuri meningkat sekitar 21,07% tahun ke tahun, mencapai 2,2 miliar dolar, dengan jumlah kejadian peretasan individu meningkat dari 282 pada tahun 2023 menjadi 303 pada tahun 2024.
Menariknya, intensitas serangan peretasan cryptocurrency berubah sekitar paruh pertama tahun ini. Dalam pembaruan kejahatan tengah tahun kami, kami mencatat bahwa nilai akumulatif yang dicuri antara Januari 2024 dan Juli 2024 telah mencapai 1,58 miliar dolar, sekitar 84,4% lebih tinggi dari nilai yang dicuri pada periode yang sama tahun 2023. Seperti yang kita lihat dalam grafik di bawah ini, pada akhir Juli, ekosistem dengan mudah bisa berada di jalur yang benar, tahun ini dapat dibandingkan dengan lebih dari 3 miliar dolar pada tahun 2021 dan 2022. Namun, tren pencurian cryptocurrency pada tahun 2024 menunjukkan pelambatan yang jelas setelah bulan Juli, dan tetap relatif stabil. Kami akan membahas potensi penyebab geopolitik dari perubahan ini di kemudian hari.
Dalam hal jumlah yang dicuri berdasarkan jenis platform korban, pola menarik juga muncul pada tahun 2024. Pada sebagian besar kuartal antara 2021 dan 2023, platform keuangan terdesentralisasi (DeFi) adalah target utama peretas cryptocurrency. Platform DeFi mungkin lebih rentan terhadap serangan karena pengembang mereka cenderung memprioritaskan pertumbuhan cepat dan membawa produk ke pasar daripada menerapkan langkah-langkah keamanan, yang menjadikannya sasaran utama bagi peretas.
Meskipun DeFi masih memegang porsi terbesar dari aset yang dicuri pada kuartal pertama 2024, layanan terpusat menjadi sasaran paling utama pada kuartal kedua dan ketiga. Beberapa serangan peretasan layanan terpusat yang paling terkenal termasuk DMM Bitcoin (Mei 2024; 305 juta dolar) dan WazirX (Juli 2024; 234,9 juta dolar).
Peralihan fokus dari DeFi ke layanan terpusat menyoroti semakin pentingnya mekanisme keamanan yang umum digunakan oleh peretas (seperti kunci pribadi). Pada tahun 2024, kebocoran kunci pribadi menyumbang porsi terbesar dari cryptocurrency yang dicuri, mencapai 43,8%. Untuk layanan terpusat, menjaga keamanan kunci pribadi sangat penting karena mereka mengontrol akses ke aset pengguna. Mengingat bahwa bursa terpusat mengelola sejumlah besar dana pengguna, dampak kebocoran kunci pribadi bisa menjadi bencana; kita hanya perlu melihat serangan DMM Bitcoin senilai 305 juta dolar, yang merupakan salah satu pelanggaran cryptocurrency terbesar hingga saat ini, yang mungkin terjadi karena pengelolaan kunci pribadi yang buruk atau kurangnya keamanan yang memadai.
Setelah kebocoran kunci pribadi, pelaku jahat biasanya mencuci uang yang dicuri melalui bursa terdesentralisasi (DEX), layanan penambangan, atau layanan pencampuran untuk mengaburkan jejak transaksi dan membuat pelacakan menjadi lebih rumit. Pada tahun 2024, kita dapat melihat bahwa aktivitas pencucian uang oleh peretas kunci pribadi sangat berbeda dari aktivitas pencucian uang oleh peretas yang memanfaatkan media serangan lainnya. Misalnya, setelah mencuri kunci pribadi, para peretas ini sering beralih ke layanan jembatan dan pencampuran. Untuk media serangan lainnya, bursa terdesentralisasi lebih sering digunakan untuk aktivitas pencucian uang.
Pada tahun 2024, jumlah yang dicuri oleh peretas Korea Utara dari platform cryptocurrency akan lebih banyak daripada sebelumnya
Peretas yang terkait dengan Korea Utara terkenal karena metode mereka yang kompleks dan tanpa ampun, sering menggunakan malware canggih, rekayasa sosial, dan pencurian cryptocurrency untuk mendanai operasi yang didanai negara dan menghindari sanksi internasional. Pejabat AS dan internasional memperkirakan bahwa Pyongyang menggunakan cryptocurrency yang dicuri untuk mendanai program senjata pemusnah massal dan rudal balistik, mengancam keamanan internasional. Hingga tahun 2023, peretas yang terkait dengan Korea Utara mencuri sekitar 660,5 juta dolar melalui 20 kejadian; pada tahun 2024, angka ini meningkat menjadi 1,34 miliar dolar dalam 47 kejadian, dengan nilai yang dicuri meningkat 102,88%. Angka-angka ini mewakili 61% dari total jumlah yang dicuri tahun itu dan 20% dari total kejadian.
Harap dicatat bahwa dalam laporan tahun lalu, kami mengungkapkan bahwa Korea Utara mencuri 1 miliar dolar melalui 20 serangan peretasan. Setelah penyelidikan lebih lanjut, kami menemukan bahwa beberapa serangan besar yang sebelumnya dikaitkan dengan Korea Utara mungkin tidak lagi relevan, sehingga jumlahnya berkurang menjadi 660,5 juta dolar. Namun, jumlah kejadian tetap sama karena kami menemukan serangan peretasan kecil lainnya yang dikaitkan dengan Korea Utara. Ketika kami mendapatkan bukti baru di on-chain dan off-chain, tujuan kami adalah terus-menerus mengevaluasi kembali penilaian kami tentang kejadian peretasan yang terkait dengan Korea Utara.
Sayangnya, serangan cryptocurrency dari Korea Utara tampaknya semakin sering terjadi. Dalam grafik di bawah ini, kami memeriksa rata-rata waktu antara keberhasilan serangan DPRK berdasarkan skala eksploitasi, dan menemukan bahwa serangan dari berbagai skala telah menurun dibandingkan tahun lalu. Menariknya, serangan senilai 50 hingga 100 juta dolar serta serangan di atas 100 juta dolar terjadi jauh lebih sering dibandingkan tahun 2023, menunjukkan bahwa Korea Utara semakin baik dan cepat dalam melaksanakan serangan besar. Ini kontras dengan dua tahun sebelumnya, di mana keuntungan per serangan sering kali kurang dari 50 juta dolar.
Ketika membandingkan aktivitas Korea Utara dengan semua aktivitas peretasan lain yang kami pantau, jelas bahwa Korea Utara bertanggung jawab atas sebagian besar serangan besar selama tiga tahun terakhir. Menariknya, jumlah serangan peretasan dari Korea Utara cenderung lebih rendah, terutama dengan peningkatan kepadatan serangan peretasan yang bernilai sekitar 10.000 dolar.
Beberapa kejadian ini tampaknya terkait dengan profesional TI Korea Utara, yang semakin banyak menyusup ke perusahaan cryptocurrency dan Web3, merusak jaringan, operasi, dan integritas mereka. Karyawan ini sering menggunakan strategi, teknik, dan prosedur (TTP) yang kompleks, seperti identitas palsu, menyewa agen perekrutan pihak ketiga, dan memanipulasi peluang kerja jarak jauh untuk mendapatkan akses. Dalam salah satu kasus terbaru, Departemen Kehakiman AS mengajukan tuntutan terhadap 14 warga negara Korea Utara yang bekerja jarak jauh di AS. Perusahaan memperoleh lebih dari 88 juta dolar dengan mencuri informasi proprietary dan memeras majikan.
Untuk mengurangi risiko ini, perusahaan harus memprioritaskan pemeriksaan latar belakang yang menyeluruh - termasuk pemeriksaan latar belakang dan verifikasi identitas - sambil menjaga keamanan kunci pribadi yang kuat untuk melindungi aset penting (jika berlaku).
Meskipun semua tren ini menunjukkan bahwa Korea Utara sangat aktif tahun ini, sebagian besar serangan terjadi di awal tahun, sementara aktivitas peretasan secara keseluruhan stagnan pada kuartal ketiga dan keempat, seperti yang ditunjukkan grafik sebelumnya.
Pada akhir Juni 2024, Presiden Rusia Vladimir Putin dan pemimpin Korea Utara Kim Jong Un juga akan mengadakan pertemuan di Pyongyang untuk menandatangani perjanjian pertahanan bersama. Tahun ini sejauh ini, Rusia telah melepaskan sejumlah juta dolar aset Korea Utara yang sebelumnya dibekukan berdasarkan sanksi Dewan Keamanan PBB, menandai perkembangan berkelanjutan aliansi kedua negara. Sementara itu, Korea Utara telah mengirimkan pasukan ke Ukraina dan menyediakan Rusia dengan rudal balistik, serta dilaporkan meminta teknologi luar angkasa, rudal, dan kapal selam canggih dari Moskow.
Jika kita membandingkan kerugian harian rata-rata dari eksploitasi DPRK sebelum dan sesudah 1 Juli 2024, kita dapat melihat penurunan signifikan dalam jumlah yang dicuri. Secara spesifik, seperti yang ditunjukkan pada grafik di bawah ini, jumlah yang dicuri oleh Korea Utara turun sekitar 53,73%, sedangkan jumlah yang dicuri oleh non-Korea Utara meningkat sekitar 5%. Oleh karena itu, selain mengalihkan sumber daya militer ke konflik Ukraina, Korea Utara yang telah meningkatkan kerjasama dengan Rusia dalam beberapa tahun terakhir mungkin juga telah mengubah aktivitas kejahatan sibernya.
Penurunan pencurian dana oleh Korea Utara setelah 1 Juli 2024 sangat jelas, dan waktunya juga jelas, tetapi penting untuk dicatat bahwa penurunan ini tidak selalu terkait dengan kunjungan Putin ke Pyongyang. Selain itu, beberapa kejadian yang terjadi pada bulan Desember mungkin akan mengubah pola ini di akhir tahun, dan penyerang sering melakukan serangan selama periode liburan.
Studi kasus: Serangan Korea Utara terhadap DMM Bitcoin
Salah satu contoh terkenal serangan peretasan terkait Korea Utara pada tahun 2024 melibatkan bursa cryptocurrency Jepang DMM Bitcoin, yang diserang dan mengakibatkan kehilangan sekitar 4.502,9 Bitcoin, saat itu senilai 305 juta dolar. Penyerang mengeksploitasi kerentanan dalam infrastruktur yang digunakan DMM, yang mengakibatkan penarikan tidak sah. Sebagai tanggapan, DMM, dengan dukungan dari perusahaan grup, melakukan pembayaran penuh kepada pelanggan dengan mencari dana yang setara.
Kami dapat menganalisis aliran dana di on-chain setelah serangan awal, pada tahap pertama, kami melihat penyerang memindahkan cryptocurrency senilai jutaan dolar dari DMM Bitcoin ke beberapa alamat perantara, sebelum akhirnya sampai ke server pencampuran Bitcoin CoinJoin.
Setelah berhasil mencampur dana yang dicuri menggunakan layanan pencampuran Bitcoin CoinJoin, penyerang memindahkan sebagian dari dana tersebut melalui beberapa layanan jembatan ke Huioneguarantee, yang merupakan pasar online terkait dengan grup perusahaan Kamboja Huione Group, pemain penting di bidang tersebut. Memfasilitasi kejahatan siber.
DMM Bitcoin telah memindahkan aset dan akun pelanggan ke anak perusahaan SBI VC Trade dari grup keuangan Jepang SBI Group, dengan transisi dijadwalkan selesai pada Maret 2025. Untungnya, alat dan teknologi prediksi yang muncul sedang naik daun, dan kami akan membahasnya di bagian selanjutnya untuk bersiap menghadapi terjadinya serangan peretasan yang merusak semacam ini.
Menggunakan model prediksi untuk mencegah serangan peretasan
Teknologi prediksi canggih yang mendeteksi risiko dan ancaman potensial secara real-time sedang mengubah keamanan siber, memberikan pendekatan proaktif untuk melindungi ekosistem digital. Mari kita lihat contoh di bawah ini, yang melibatkan penyedia likuiditas terdesentralisasi UwU Lend.
Pada tanggal 10 Juni 2024, para penyerang memperoleh sekitar 20 juta dolar dengan memanipulasi sistem oracle harga UwU Lend. Penyerang melancarkan serangan pinjaman kilat untuk mengubah harga Ethena Staked USDe (sUSDe) di beberapa oracle, yang menyebabkan penilaian yang tidak tepat. Akibatnya, penyerang dapat meminjam jutaan dolar dalam waktu tujuh menit. Hexagate mendeteksi kontrak serangan sekitar dua hari sebelum eksploitasi.
Meskipun kontrak serangan terdeteksi dengan akurat dalam waktu nyata dua hari sebelum eksploitasi, karena alasan desain, keterkaitannya dengan kontrak yang dieksploitasi tidak segera terlihat. Dengan alat lain seperti oracle keamanan Hexagate, deteksi awal ini dapat dimanfaatkan lebih lanjut untuk mengurangi ancaman. Penting untuk dicatat bahwa serangan pertama yang menyebabkan kerugian 8,2 juta dolar terjadi beberapa menit sebelum serangan berikutnya, memberikan sinyal penting lainnya.
Peringatan semacam ini yang dikeluarkan sebelum serangan besar di blockchain memiliki potensi untuk mengubah keamanan para pelaku industri, memungkinkan mereka untuk sepenuhnya mencegah serangan peretasan yang mahal, alih-alih hanya meresponsnya.
Dalam grafik di bawah ini, kami melihat bahwa pelaku mengalihkan dana yang dicuri melalui dua alamat perantara sebelum mencapai pencampur kontrak pintar Ethereum Tornado Cash yang disetujui OFAC.
Namun, penting untuk dicatat bahwa hanya mengakses model prediksi ini tidak menjamin pencegahan serangan peretasan, karena protokol mungkin tidak selalu memiliki alat yang tepat untuk mengambil tindakan yang efektif.
Kebutuhan akan keamanan kripto yang lebih kuat
Peningkatan cryptocurrency yang dicuri pada tahun 2024 menyoroti kebutuhan industri untuk menghadapi ancaman yang semakin kompleks dan terus berkembang. Meskipun skala pencurian cryptocurrency belum pulih ke tingkat 2021 dan 2022, kebangkitan yang disebutkan di atas menyoroti kesenjangan dalam langkah-langkah keamanan yang ada dan pentingnya menyesuaikan diri dengan metode eksploitasi baru. Kerja sama antara sektor publik dan swasta sangat penting untuk secara efektif menangani tantangan ini. Program berbagi data, solusi keamanan waktu nyata, alat pelacakan canggih, dan pelatihan yang ditargetkan dapat memberdayakan pemangku kepentingan untuk dengan cepat mengidentifikasi dan menghilangkan pelaku jahat, sambil membangun ketahanan yang diperlukan untuk melindungi aset kripto.
Selain itu, dengan perkembangan kerangka regulasi cryptocurrency yang terus berlangsung, pengawasan terhadap keamanan platform dan perlindungan aset pelanggan mungkin akan meningkat. Praktik terbaik industri harus mengikuti perubahan ini untuk memastikan pencegahan dan akuntabilitas. Dengan membangun kemitraan yang lebih kuat dengan penegak hukum dan memberikan sumber daya dan keahlian respons cepat kepada tim, industri cryptocurrency dapat meningkatkan kemampuan mereka untuk mencegah pencurian. Upaya ini tidak hanya krusial untuk melindungi aset individu, tetapi juga untuk membangun kepercayaan dan stabilitas jangka panjang dalam ekosistem digital.