Judul Asli: $2,2 Miliar Dicuri dari Platform Crypto pada tahun 2024, tetapi Volume yang Dihack Stagnan Menuju Akhir Tahun karena DPRK Mengurangi Aktivitas setelah Juli
Penulis Asli: Chainalysis
Penerjemahan Asli: Tao Zhu, Golden Finance
Reproduksi: Luke, Mars Finance
Serangan peretasan cryptocurrency tetap menjadi ancaman yang terus ada, dengan empat dari sepuluh tahun terakhir di mana cryptocurrency senilai lebih dari 1 miliar dolar dicuri (2018, 2021, 2022, dan 2023). Tahun 2024 adalah tahun kelima untuk mencapai tonggak yang mengkhawatirkan ini, menyoroti bahwa dengan meningkatnya adopsi cryptocurrency dan harga yang meningkat, jumlah yang dapat dicuri juga meningkat.
Pada tahun 2024, dana yang dicuri meningkat sekitar 21,07% year-on-year, mencapai 2,2 miliar dolar AS, dengan jumlah kejadian peretasan individu meningkat dari 282 pada tahun 2023 menjadi 303 pada tahun 2024.
Menariknya, intensitas serangan peretasan cryptocurrency berubah sekitar pertengahan tahun ini. Dalam pembaruan kejahatan tengah tahun kami, kami mencatat bahwa nilai kumulatif yang dicuri antara Januari 2024 hingga Juli 2024 telah mencapai 1,58 miliar dolar AS, meningkat sekitar 84,4% dibandingkan dengan nilai yang dicuri pada periode yang sama tahun 2023. Seperti yang kami lihat pada grafik di bawah ini, ekosistem dengan mudah bisa kembali ke jalurnya, dan tahun ini dapat dibandingkan dengan lebih dari 3 miliar dolar AS pada tahun 2021 dan 2022. Namun, tren peningkatan pencurian cryptocurrency pada tahun 2024 jelas melambat setelah bulan Juli, dan tetap relatif stabil setelah itu. Kami akan membahas potensi penyebab geopolitik untuk perubahan ini di kemudian hari.
Dalam hal jumlah yang dicuri berdasarkan jenis platform korban, pola menarik juga muncul pada tahun 2024. Dalam sebagian besar kuartal dari tahun 2021 hingga 2023, platform keuangan terdesentralisasi (DeFi) menjadi target utama peretas cryptocurrency. Platform DeFi mungkin lebih rentan terhadap serangan karena pengembang mereka cenderung memprioritaskan pertumbuhan cepat dan membawa produk ke pasar, alih-alih menerapkan langkah-langkah keamanan, yang membuat mereka menjadi target utama peretas.
Meskipun DeFi masih menyumbang bagian terbesar dari aset yang dicuri pada kuartal pertama tahun 2024, layanan terpusat menjadi target paling banyak pada kuartal kedua dan ketiga. Beberapa serangan peretasan layanan terpusat yang paling terkenal termasuk DMM Bitcoin (Mei 2024; 305 juta dolar AS) dan WazirX (Juli 2024; 234,9 juta dolar AS).
Peralihan fokus dari DeFi ke layanan terpusat menyoroti semakin pentingnya mekanisme keamanan yang biasa digunakan oleh peretas (seperti kunci pribadi). Pada tahun 2024, kebocoran kunci pribadi menyumbang proporsi terbesar dari cryptocurrency yang dicuri, mencapai 43,8%. Untuk layanan terpusat, menjaga keamanan kunci pribadi sangat penting karena mereka mengontrol akses ke aset pengguna. Mengingat bursa terpusat mengelola sejumlah besar dana pengguna, dampak dari kebocoran kunci pribadi bisa sangat merusak; kita hanya perlu melihat insiden peretasan DMM Bitcoin senilai 305 juta dolar AS, yang merupakan salah satu pelanggaran cryptocurrency terbesar hingga saat ini, yang mungkin terjadi karena manajemen kunci pribadi yang buruk atau kurangnya keamanan yang memadai.
Setelah bocornya kunci pribadi, pelaku jahat biasanya mencuci dana yang dicuri melalui bursa terdesentralisasi (DEX), layanan penambangan, atau layanan pencampuran untuk mengaburkan jejak transaksi dan membuat pelacakan menjadi lebih rumit. Pada tahun 2024, kita dapat melihat bahwa aktivitas pencucian uang oleh peretas yang mencuri kunci pribadi sangat berbeda dengan aktivitas pencucian uang oleh peretas yang menggunakan media serangan lain. Misalnya, setelah mencuri kunci pribadi, para peretas ini sering beralih ke layanan jembatan dan pencampuran. Untuk media serangan lainnya, bursa terdesentralisasi lebih sering digunakan untuk aktivitas pencucian uang.
Pada tahun 2024, jumlah yang dicuri oleh peretas Korea Utara dari platform cryptocurrency akan lebih banyak daripada sebelumnya.
Peretas yang terkait dengan Korea Utara terkenal karena cara mereka yang kompleks dan tanpa ampun, sering memanfaatkan perangkat lunak berbahaya yang canggih, rekayasa sosial, dan pencurian cryptocurrency untuk mendanai tindakan yang didanai negara dan menghindari sanksi internasional. Pejabat AS dan internasional menilai bahwa Pyongyang memanfaatkan cryptocurrency yang dicuri untuk mendanai program senjata pemusnah massalnya dan program rudal balistik, yang membahayakan keamanan internasional. Hingga tahun 2023, peretas yang terkait dengan Korea Utara telah mencuri sekitar 660,5 juta dolar AS melalui 20 insiden; pada tahun 2024, angka ini meningkat menjadi 1,34 miliar dolar AS melalui 47 insiden, dengan nilai yang dicuri meningkat sebesar 102,88%. Angka-angka ini mewakili 61% dari total nilai yang dicuri tahun itu dan 20% dari total jumlah insiden.
Perlu dicatat bahwa dalam laporan tahun lalu, kami menyebutkan bahwa Korea Utara mencuri 1 miliar dolar AS melalui 20 serangan peretasan. Setelah penyelidikan lebih lanjut, kami menentukan bahwa beberapa serangan peretasan besar yang sebelumnya dikaitkan dengan Korea Utara mungkin tidak lagi relevan, sehingga jumlahnya berkurang menjadi 660,5 juta dolar AS. Namun, jumlah insiden tetap sama karena kami menemukan serangan peretasan lebih kecil lainnya yang dikaitkan dengan Korea Utara. Ketika kami mendapatkan bukti baru di blockchain dan off-chain, kami bertujuan untuk terus mengevaluasi penilaian kami terhadap insiden peretasan terkait Korea Utara.
Sayangnya, serangan cryptocurrency Korea Utara tampaknya semakin sering terjadi. Pada grafik di bawah ini, kami memeriksa rata-rata waktu antara keberhasilan serangan DPRK berdasarkan ukuran eksploitasi, dan menemukan bahwa serangan dengan berbagai ukuran menurun year-on-year. Menariknya, serangan yang bernilai antara 50 juta hingga 100 juta dolar AS serta yang di atas 100 juta dolar AS terjadi jauh lebih sering dibandingkan tahun 2023, menunjukkan bahwa Korea Utara semakin baik dan lebih cepat dalam melakukan serangan berskala besar. Ini kontras dengan dua tahun sebelumnya, di mana setiap keuntungan biasanya kurang dari 50 juta dolar AS.
Saat membandingkan aktivitas Korea Utara dengan semua aktivitas peretasan lainnya yang kami pantau, jelas bahwa Korea Utara telah bertanggung jawab atas sebagian besar serangan berskala besar selama tiga tahun terakhir. Menariknya, jumlah serangan peretasan yang dilakukan oleh Korea Utara lebih rendah, terutama dengan meningkatnya kepadatan serangan peretasan sekitar 10.000 dolar AS.
Beberapa dari insiden ini tampaknya terkait dengan pekerja TI Korea Utara, yang semakin banyak menyusup ke perusahaan cryptocurrency dan Web3, merusak jaringan, operasi, dan integritas mereka. Karyawan ini sering menggunakan strategi, teknik, dan prosedur (TTP) yang kompleks, seperti identitas palsu, mempekerjakan perekrut pihak ketiga, dan memanipulasi peluang kerja jarak jauh untuk mendapatkan akses. Dalam salah satu kasus terbaru, Departemen Kehakiman AS (DOJ) pada hari Rabu mengajukan tuntutan terhadap 14 warga negara Korea Utara yang bekerja sebagai pekerja TI jarak jauh di AS. Perusahaan ini telah menghasilkan lebih dari 88 juta dolar AS melalui pencurian informasi berharga dan pemerasan terhadap majikan.
Untuk mengurangi risiko ini, perusahaan harus memprioritaskan due diligence perekrutan yang menyeluruh—termasuk pemeriksaan latar belakang dan verifikasi identitas—sambil menjaga keamanan kunci pribadi yang kuat untuk melindungi aset penting (jika berlaku).
Meskipun semua tren ini menunjukkan bahwa Korea Utara sangat aktif tahun ini, sebagian besar serangannya terjadi di awal tahun, dengan aktivitas peretasan secara keseluruhan terhenti pada kuartal ketiga dan keempat, seperti yang ditunjukkan pada grafik sebelumnya.
Pada akhir Juni 2024, Presiden Rusia Vladimir Putin dan pemimpin Korea Utara Kim Jong-un juga akan mengadakan pertemuan di Pyongyang untuk menandatangani kesepakatan pertahanan bersama. Hingga saat ini, Rusia telah melepaskan aset Korea Utara yang sebelumnya dibekukan senilai jutaan dolar berdasarkan sanksi Dewan Keamanan PBB, menandakan perkembangan berkelanjutan dalam aliansi kedua negara. Sementara itu, Korea Utara telah menempatkan pasukan di Ukraina dan memberikan rudal balistik kepada Rusia, serta dilaporkan meminta teknologi luar angkasa, rudal, dan kapal selam yang maju dari Moskow.
Jika kita membandingkan kerugian harian dari eksploitasi DPRK sebelum dan setelah 1 Juli 2024, kita dapat melihat jumlah nilai yang dicuri menurun secara signifikan. Seperti yang ditunjukkan pada gambar di bawah ini, jumlah yang dicuri oleh Korea Utara turun sekitar 53,73%, sementara jumlah yang dicuri oleh pihak non-Korea Utara meningkat sekitar 5%. Oleh karena itu, selain mengalihkan sumber daya militer untuk konflik Ukraina, Korea Utara yang telah memperkuat kerjasama dengan Rusia dalam beberapa tahun terakhir juga mungkin telah mengubah aktivitas kejahatan sibernya.
Penurunan jumlah dana yang dicuri oleh Korea Utara setelah 1 Juli 2024 sangat jelas, dan waktunya juga jelas, tetapi perlu dicatat bahwa penurunan ini tidak selalu terkait dengan kunjungan Putin ke Pyongyang. Selain itu, beberapa insiden yang terjadi pada bulan Desember mungkin mengubah pola ini menjelang akhir tahun, dan penyerang sering kali meluncurkan serangan selama liburan.
Studi Kasus: Serangan Korea Utara terhadap DMM Bitcoin
Salah satu contoh terkenal dari serangan peretasan yang terkait dengan Korea Utara pada tahun 2024 melibatkan bursa cryptocurrency Jepang DMM Bitcoin, yang diretas dan menyebabkan kerugian sekitar 4.502,9 Bitcoin, yang saat itu bernilai 305 juta dolar AS. Penyerang mengeksploitasi kerentanan dalam infrastruktur yang digunakan oleh DMM, yang mengakibatkan penarikan tanpa izin. Sebagai respons, DMM, dengan dukungan dari perusahaan grupnya, melakukan pembayaran penuh kepada pelanggan dengan mencari dana yang setara.
Kami dapat menganalisis aliran dana di blockchain setelah serangan awal, di mana pada tahap pertama, kami melihat penyerang memindahkan cryptocurrency senilai jutaan dolar dari DMM Bitcoin ke beberapa alamat perantara, sebelum akhirnya sampai ke server pencampuran Tornado Cash yang disetujui oleh OFAC.
Setelah berhasil mencampur dana yang dicuri menggunakan layanan pencampuran CoinJoin Bitcoin, penyerang memindahkan sebagian dana ke Huioneguarantee melalui beberapa layanan jembatan, yang merupakan pasar online terkait dengan grup bisnis Kamboja, Huione Group, yang merupakan pemain utama di bidang tersebut dan memfasilitasi kejahatan siber.
DMM Bitcoin telah memindahkan aset dan akun pelanggannya ke anak perusahaan grup keuangan Jepang, SBI Group, SBI VC Trade, dengan transisi yang dijadwalkan selesai pada Maret 2025. Untungnya, alat dan teknologi prediksi yang baru muncul sedang muncul, dan kami akan membahasnya di bagian berikutnya untuk mempersiapkan diri menghadapi kemungkinan serangan peretasan yang merusak.
Menggunakan model prediksi untuk mencegah serangan peretasan
Teknologi prediksi canggih yang mendeteksi risiko dan ancaman potensial dalam waktu nyata sedang mengubah keamanan siber, memberikan pendekatan proaktif untuk melindungi ekosistem digital. Mari kita lihat contoh di bawah ini, yang melibatkan penyedia likuiditas terdesentralisasi UwU Lend.
Pada 10 Juni 2024, penyerang memanipulasi sistem oracle harga UwU Lend untuk mendapatkan dana sekitar 20 juta dolar AS. Penyerang melakukan serangan pinjaman kilat untuk mengubah harga Ethena Staked USDe (sUSDe) di beberapa oracle, yang mengakibatkan penilaian yang tidak tepat. Oleh karena itu, penyerang dapat meminjam jutaan dolar dalam waktu tujuh menit. Hexagate mendeteksi kontrak serangan dan penyebaran serupa sekitar dua hari sebelum eksploitasi.
Meskipun kontrak serangan terdeteksi secara akurat dalam waktu nyata dua hari sebelum eksploitasi, hubungan kontrak tersebut dengan kontrak yang dieksploitasi tidak segera terlihat karena alasan desain. Dengan bantuan alat lain seperti oracle keamanan Hexagate, deteksi awal ini dapat dimanfaatkan lebih lanjut untuk mengurangi ancaman. Patut dicatat bahwa serangan pertama yang mengakibatkan kerugian 8,2 juta dolar AS terjadi beberapa menit sebelum serangan berikutnya, yang memberikan sinyal penting lainnya.
Peringatan semacam ini yang dikeluarkan sebelum serangan besar di blockchain memiliki potensi untuk mengubah keamanan pelaku industri, memungkinkan mereka untuk mencegah sepenuhnya serangan peretasan yang mahal, daripada hanya meresponsnya.
Pada grafik di bawah ini, kami melihat penyerang mentransfer dana yang dicuri melalui dua alamat perantara sebelum mencapai pencampur kontrak pintar Ethereum Tornado Cash yang disetujui oleh OFAC.
Namun, perlu dicatat bahwa hanya mengakses model prediksi ini tidak menjamin pencegahan serangan peretasan, karena protokol mungkin tidak selalu memiliki alat yang tepat untuk mengambil tindakan yang efektif.
Diperlukan keamanan kriptografi yang lebih kuat
Peningkatan cryptocurrency yang dicuri pada tahun 2024 menyoroti kebutuhan industri untuk menghadapi ancaman yang semakin kompleks dan terus berubah. Meskipun skala pencurian cryptocurrency belum pulih ke tingkat tahun 2021 dan 2022, kebangkitan yang disebutkan di atas menyoroti kesenjangan dalam langkah-langkah keamanan yang ada dan pentingnya beradaptasi dengan metode eksploitasi baru. Untuk secara efektif menghadapi tantangan ini, kolaborasi antara sektor publik dan swasta sangat penting. Program berbagi data, solusi keamanan waktu nyata, alat pelacakan canggih, dan pelatihan yang ditargetkan dapat memberdayakan pemangku kepentingan untuk dengan cepat mengidentifikasi dan menghilangkan pelaku jahat, sambil membangun ketahanan yang diperlukan untuk melindungi aset cryptocurrency.
Selain itu, seiring dengan perkembangan kerangka regulasi cryptocurrency, pengawasan terhadap keamanan platform dan perlindungan aset pelanggan mungkin akan diperketat. Praktik terbaik industri harus mengikuti perubahan ini untuk memastikan pencegahan dan akuntabilitas. Dengan membangun kemitraan yang lebih kuat dengan penegak hukum dan memberikan sumber daya serta keahlian respons cepat kepada tim, industri cryptocurrency dapat memperkuat kemampuannya dalam mencegah pencurian. Upaya ini tidak hanya penting untuk melindungi aset individu, tetapi juga penting untuk membangun kepercayaan dan stabilitas jangka panjang dalam ekosistem digital.