Artikel Terkait: $2,2 Miliar Dicuri dari Platform Kripto pada 2024, tetapi Volume yang Diretas Stagnan Menjelang Akhir Tahun karena DPRK Melambatkan Aktivitas Pasca-Juli
Sumber asli: Chainalysis
Kompilasi asli: Tao Zhu, Keuangan Emas
Peretasan mata uang kripto tetap menjadi ancaman yang berkelanjutan, dengan pencurian mata uang kripto senilai lebih dari $1 miliar dalam empat dari sepuluh tahun terakhir (2018, 2021, 2022, dan 2023). Tahun 2024 menandai tahun kelima sejak mencapai tonggak sejarah yang meresahkan ini, menyoroti bahwa seiring dengan meningkatnya adopsi mata uang kripto dan harga, maka jumlah yang dapat dicuri juga meningkat.
Pada tahun 2024, dana curian meningkat sekitar 21,07% dibandingkan tahun lalu menjadi $2,2 miliar, dan jumlah insiden peretasan individu meningkat dari 282 pada tahun 2023 menjadi 303 pada tahun 2024.
Menariknya, intensitas peretasan mata uang kripto berubah sekitar paruh pertama tahun ini. Dalam pembaruan kejahatan pertengahan tahun kami, kami mencatat bahwa nilai kumulatif yang dicuri antara bulan Januari dan Juli 2024 telah mencapai $1,58 miliar, sekitar 84,4 persen lebih tinggi dibandingkan nilai yang dicuri pada periode yang sama pada tahun 2023. Seperti yang dapat kita lihat pada grafik di bawah, ekosistem ini sudah berada pada jalur yang tepat pada akhir bulan Juli, dengan tahun yang menyaingi tahun 2021 dan tahun 2022 yang bernilai lebih dari $3 miliar. Namun, tren peningkatan pencurian mata uang kripto pada tahun 2024 melambat secara signifikan setelah bulan Juli dan tetap relatif stabil sejak saat itu. Nantinya, kami akan mengeksplorasi potensi alasan geopolitik yang mendasari perubahan ini.
Pola menarik juga muncul pada tahun 2024 dalam hal jumlah yang dicuri berdasarkan jenis platform korban. Untuk sebagian besar kuartal dari tahun 2021 hingga 2023, platform keuangan terdesentralisasi (DeFi) adalah target utama peretas mata uang kripto. Platform DeFi mungkin lebih rentan terhadap serangan karena pengembangnya cenderung memprioritaskan pertumbuhan yang cepat dan membawa produk ke pasar daripada menerapkan langkah-langkah keamanan, sehingga menjadikannya target utama para peretas.
Meskipun DeFi masih menyumbang bagian terbesar dari aset yang dicuri pada kuartal pertama tahun 2024, layanan terpusat menjadi yang paling banyak menjadi target pada kuartal kedua dan ketiga. Beberapa peretasan layanan terpusat yang paling terkenal termasuk DMM Bitcoin (Mei 2024; $305 juta) dan WazirX (Juli 2024; $234,9 juta).
Pergeseran fokus dari DeFi ke layanan terpusat menyoroti semakin pentingnya mekanisme keamanan yang biasa digunakan oleh peretas, seperti kunci pribadi. Pada tahun 2024, penyusupan kunci pribadi menyumbang bagian terbesar dari mata uang kripto yang dicuri, yaitu sebesar 43,8%. Untuk layanan terpusat, menjaga keamanan kunci privat sangatlah penting karena mereka mengontrol akses ke aset pengguna. Mengingat banyaknya dana pengguna yang dikelola oleh bursa terpusat, dampak kebocoran kunci pribadi bisa sangat menghancurkan; kita hanya perlu melihat peretasan Bitcoin DMM senilai $305 juta, salah satu pelanggaran mata uang kripto terbesar hingga saat ini dan mungkin terjadi karena privasi yang buruk. manajemen kunci atau kurangnya keamanan yang memadai.
Setelah membocorkan kunci pribadi, pelaku kejahatan sering kali mencuci dana curian melalui bursa terdesentralisasi (DEX), layanan penambangan, atau layanan pencampuran, sehingga mengaburkan jejak transaksi dan mempersulit pelacakan. Pada tahun 2024, kita dapat melihat pencucian uang yang dilakukan oleh peretas kunci pribadi berbeda secara signifikan dengan pencucian uang yang dilakukan oleh peretas yang memanfaatkan vektor serangan lainnya. Misalnya, setelah mencuri kunci pribadi, para peretas ini sering kali beralih ke layanan penghubung dan hibrida. Di antara vektor serangan lainnya, bursa terdesentralisasi lebih umum digunakan untuk aktivitas pencucian uang.
Peretas Korea Utara akan mencuri lebih banyak dari platform kripto pada tahun 2024 dibandingkan sebelumnya
Peretas yang terkait dengan Korea Utara terkenal karena taktik mereka yang canggih dan kejam, sering kali menggunakan malware tingkat lanjut, rekayasa sosial, dan pencurian mata uang kripto untuk mendanai operasi yang disponsori negara dan menghindari sanksi internasional. Pejabat AS dan internasional menilai Pyongyang menggunakan mata uang kripto curian untuk mendanai program senjata pemusnah massal dan rudal balistiknya, sehingga membahayakan keamanan internasional. Pada tahun 2023, peretas yang terkait dengan Korea Utara akan mencuri sekitar $660,5 juta dalam 20 insiden; pada tahun 2024, jumlah ini meningkat menjadi $1,34 miliar dalam 47 insiden, peningkatan nilai pencurian sebesar 102,88%. Angka-angka ini menyumbang 61% dari total jumlah yang dicuri pada tahun itu dan 20% dari total insiden.
Perhatikan bahwa dalam laporan tahun lalu, kami menerbitkan informasi bahwa Korea Utara telah mencuri $1 miliar melalui 20 serangan peretasan. Setelah penyelidikan lebih lanjut, kami memutuskan bahwa peretasan besar tertentu yang sebelumnya dikaitkan dengan Korea Utara mungkin tidak lagi relevan, sehingga jumlahnya dikurangi menjadi $660,5 juta. Namun, jumlah insidennya tetap sama, karena kami menemukan peretasan kecil lainnya yang dikaitkan dengan Korea Utara. Tujuan kami adalah untuk terus mengevaluasi kembali penilaian kami terhadap insiden peretasan terkait Korea Utara saat kami memperoleh bukti baru baik on-chain maupun off-chain.
Sayangnya, serangan mata uang kripto di Korea Utara tampaknya semakin sering terjadi. Pada bagan di bawah, kami memeriksa waktu rata-rata antara keberhasilan serangan DPRK berdasarkan ukuran eksploitasi dan menemukan bahwa serangan dari semua ukuran menurun dari tahun ke tahun. Khususnya, serangan senilai $50 hingga $100 juta dan lebih dari $100 juta akan terjadi jauh lebih sering pada tahun 2024 dibandingkan pada tahun 2023, hal ini menunjukkan bahwa Korea Utara menjadi lebih baik dan lebih cepat dalam melakukan serangan skala besar. Hal ini sangat kontras dengan dua tahun sebelumnya, di mana keuntungan masing-masing perusahaan cenderung kurang dari $50 juta.
Ketika membandingkan aktivitas Korea Utara dengan semua kampanye peretasan lainnya yang kami pantau, jelas bahwa Korea Utara bertanggung jawab atas sebagian besar serangan berskala besar selama tiga tahun terakhir. Menariknya, peretasan di Korea Utara memiliki nilai yang lebih rendah, terutama sekitar $10.000, dan kepadatan peretasan semakin meningkat.
Beberapa dari insiden ini tampaknya terkait dengan praktisi TI Korea Utara yang semakin banyak menyusup ke perusahaan cryptocurrency dan Web3, sehingga membahayakan jaringan, operasi, dan integritas mereka. Para karyawan ini sering menggunakan taktik, teknik, dan prosedur (TTP) yang canggih seperti identitas palsu, mempekerjakan agen perekrutan pihak ketiga, dan memanipulasi peluang kerja jarak jauh untuk mendapatkan akses. Dalam kasus terbaru, Departemen Kehakiman AS (DOJ) pada hari Rabu mendakwa 14 warga negara Korea Utara yang bekerja sebagai praktisi TI jarak jauh di AS. Perusahaan menghasilkan lebih dari $88 juta dengan mencuri informasi hak milik dan memeras pemberi kerja.
Untuk memitigasi risiko ini, perusahaan harus memprioritaskan uji tuntas ketenagakerjaan secara menyeluruh—termasuk pemeriksaan latar belakang dan verifikasi identitas—sambil menjaga keamanan kunci pribadi yang kuat untuk melindungi aset penting, jika memungkinkan.
Meskipun semua tren ini menunjukkan bahwa Korea Utara sangat aktif tahun ini, sebagian besar serangannya terjadi di awal tahun, dengan aktivitas peretasan secara keseluruhan terhenti pada kuartal ketiga dan keempat, seperti yang ditunjukkan pada grafik sebelumnya.
Pada akhir Juni 2024, Presiden Rusia Vladimir Putin dan pemimpin Korea Utara Kim Jong Un juga akan mengadakan pertemuan puncak di Pyongyang untuk menandatangani perjanjian pertahanan bersama. Sepanjang tahun ini, Rusia telah mengeluarkan jutaan dolar aset-aset Korea Utara yang sebelumnya dibekukan di bawah sanksi Dewan Keamanan PBB, yang menandakan meningkatnya aliansi antara kedua negara. Sementara itu, Korea Utara telah mengerahkan pasukan ke Ukraina, memasok rudal balistik ke Rusia dan dilaporkan mencari teknologi ruang angkasa, rudal, dan kapal selam yang canggih dari Moskow.
Jika kita membandingkan rata-rata kerugian harian dari kerentanan DPRK sebelum dan sesudah 1 Juli 2024, kita dapat melihat penurunan signifikan dalam jumlah nilai yang dicuri. Seperti terlihat pada grafik di bawah, jumlah yang dicuri oleh Korea Utara kemudian turun sekitar 53,73%, sedangkan jumlah yang dicuri oleh non-Korea Utara meningkat sekitar 5%. Oleh karena itu, selain mengalihkan sumber daya militer ke konflik di Ukraina, Korea Utara, yang telah meningkatkan kerja samanya dengan Rusia secara signifikan dalam beberapa tahun terakhir, mungkin juga telah mengubah aktivitas kejahatan dunia mayanya.
Penurunan angka pencurian di Korea Utara setelah 1 Juli 2024 sudah jelas dan waktunya sudah jelas, namun perlu dicatat bahwa penurunan ini tidak selalu terkait dengan kunjungan Putin ke Pyongyang. Selain itu, beberapa peristiwa di bulan Desember mungkin mengubah pola ini di akhir tahun, dan penyerang sering kali melancarkan serangan selama liburan.
Studi Kasus: Serangan Korea Utara terhadap DMM Bitcoin
Salah satu contoh penting peretasan terkait Korea Utara pada tahun 2024 melibatkan bursa mata uang kripto Jepang DMM Bitcoin, yang mengalami peretasan yang mengakibatkan hilangnya sekitar 4,502.9 Bitcoin, senilai $305 juta pada saat itu. Penyerang menargetkan kerentanan pada infrastruktur yang digunakan oleh DMM, sehingga mengakibatkan penarikan tidak sah. Sebagai tanggapan, DMM, dengan dukungan dari perusahaan grup, membayar penuh simpanan nasabah dengan mencari dana yang setara.
Kami dapat menganalisis aliran dana on-chain setelah serangan awal, dan pada fase pertama kami melihat para penyerang memindahkan cryptocurrency senilai jutaan dolar dari DMM Bitcoin ke beberapa alamat perantara sebelum akhirnya mencapai server pencampuran Bitcoin CoinJoin.
Setelah berhasil mencampurkan dana curian menggunakan layanan pencampuran Bitcoin CoinJoin, para penyerang memindahkan sebagian dana melalui beberapa layanan penghubung ke Huioneguarantee, sebuah pasar online yang terkait dengan konglomerat Kamboja Huione Group, pemain utama di bidang tersebut. Memfasilitasi kejahatan dunia maya.
DMM Bitcoin telah mentransfer aset dan akun kliennya ke SBI VC Trade, anak perusahaan konglomerat keuangan Jepang SBI Group, dengan transisi akan selesai pada Maret 2025. Untungnya, alat-alat baru dan teknik prediktif bermunculan, yang akan kita bahas di bagian selanjutnya, untuk mempersiapkan Anda mencegah terjadinya peretasan yang merusak tersebut.
Hentikan peretas dengan model prediktif
Teknologi prediktif yang canggih mengubah keamanan siber dengan mendeteksi potensi risiko dan ancaman secara real-time, sehingga memberikan pendekatan proaktif untuk melindungi ekosistem digital. Mari kita lihat contoh di bawah ini, yang melibatkan penyedia likuiditas terdesentralisasi UwU Lend.
Pada 10 Juni 2024, penyerang memperoleh dana sekitar $20 juta dengan memanipulasi sistem oracle harga UwU Lend. Penyerang meluncurkan serangan pinjaman kilat untuk mengubah harga Ethena Staked USDe (sUSDe) di beberapa oracle, sehingga menghasilkan penilaian yang salah. Hasilnya, penyerang bisa meminjam jutaan dolar hanya dalam tujuh menit. Hexagate mendeteksi kontrak serangan dan penerapan serupa sekitar dua hari sebelum eksploitasi.
Meskipun kontrak penyerang terdeteksi secara akurat dalam waktu nyata dua hari sebelum kerentanan dieksploitasi, hubungannya dengan kontrak yang dieksploitasi tidak langsung terlihat karena desainnya. Deteksi dini ini dapat dimanfaatkan lebih lanjut untuk memitigasi ancaman dengan alat tambahan seperti oracle keamanan Hexagate. Khususnya, serangan pertama, yang mengakibatkan kerugian $8,2 juta, terjadi beberapa menit sebelum serangan berikutnya, sehingga memberikan sinyal penting lainnya.
Peringatan sebelum serangan besar-besaran pada rantai memiliki potensi untuk mengubah keamanan bagi para pelaku industri, memungkinkan mereka untuk sepenuhnya mencegah peretasan yang merugikan daripada meresponsnya.
Pada gambar di bawah, kita melihat penyerang memindahkan dana yang dicuri melalui dua alamat perantara sebelum dana tersebut mencapai Tornado Cash, sebuah mixer kontrak pintar Ethereum yang disetujui OFAC.
Namun, perlu dicatat bahwa akses ke model prediktif ini tidak menjamin perlindungan terhadap peretas, karena protokol mungkin tidak selalu memiliki alat yang tepat untuk mengambil tindakan secara efektif.
Kebutuhan akan keamanan kriptografi yang lebih kuat
Meningkatnya jumlah mata uang kripto yang dicuri pada tahun 2024 menyoroti perlunya industri ini merespons lanskap ancaman yang semakin kompleks dan terus berkembang. Meskipun skala pencurian mata uang kripto belum kembali ke level tahun 2021 dan 2022, kebangkitan yang disebutkan di atas menyoroti kesenjangan dalam langkah-langkah keamanan yang ada dan pentingnya beradaptasi dengan metode eksploitasi baru. Untuk mengatasi tantangan-tantangan ini secara efektif, kolaborasi antara sektor publik dan swasta sangatlah penting. Program berbagi data, solusi keamanan real-time, alat pelacakan canggih, dan pelatihan yang ditargetkan dapat memungkinkan pemangku kepentingan dengan cepat mengidentifikasi dan menetralisir pelaku jahat sambil membangun ketahanan yang diperlukan untuk melindungi aset kripto.
Selain itu, seiring dengan terus berkembangnya kerangka peraturan untuk mata uang kripto, pengawasan terhadap keamanan platform dan perlindungan aset pelanggan kemungkinan akan meningkat. Praktik terbaik industri harus mengikuti perubahan ini untuk memastikan pencegahan dan akuntabilitas. Dengan membangun kemitraan yang lebih kuat dengan penegak hukum dan menyediakan sumber daya dan keahlian bagi tim untuk merespons dengan cepat, industri mata uang kripto dapat memperkuat kemampuan pencegahan pencuriannya. Upaya-upaya ini penting tidak hanya untuk melindungi aset pribadi, namun juga untuk membangun kepercayaan dan stabilitas jangka panjang dalam ekosistem digital.
Tautan asli