Sumber: Chainalysis
Disusun oleh: Tao Zhu, Golden Finance
Serangan hacker terhadap cryptocurrency tetap menjadi ancaman yang terus ada, dengan nilai lebih dari satu miliar dolar cryptocurrency dicuri dalam empat dari sepuluh tahun terakhir (2018, 2021, 2022, dan 2023). Tahun 2024 adalah tahun kelima mencapai tonggak yang mengganggu ini, menyoroti bahwa seiring dengan adopsi cryptocurrency dan kenaikan harga, jumlah yang dapat dicuri juga meningkat.
Pada tahun 2024, jumlah dana yang dicuri meningkat sekitar 21,07% dibandingkan tahun sebelumnya, mencapai 2,2 miliar dolar AS, dengan jumlah insiden hacker individu meningkat dari 282 pada tahun 2023 menjadi 303 pada tahun 2024.
Menariknya, intensitas serangan hacker cryptocurrency mengalami perubahan sekitar paruh tahun ini. Dalam pembaruan kejahatan tengah tahun kami, kami mencatat bahwa nilai akumulasi yang dicuri antara Januari 2024 hingga Juli 2024 telah mencapai 1,58 miliar dolar AS, sekitar 84,4% lebih tinggi dibandingkan dengan nilai yang dicuri pada periode yang sama di tahun 2023. Seperti yang kita lihat pada grafik di bawah ini, pada akhir Juli, ekosistem dengan mudah kembali ke jalurnya, dan tahun ini dapat dibandingkan dengan lebih dari 3 miliar dolar pada tahun 2021 dan 2022. Namun, tren pencurian cryptocurrency pada tahun 2024 menunjukkan perlambatan yang jelas setelah bulan Juli, dan kemudian tetap relatif stabil. Nanti, kita akan menjelajahi potensi penyebab geopolitik dari perubahan ini.
Dalam hal jumlah yang dicuri berdasarkan jenis platform korban, pola menarik juga muncul pada tahun 2024. Dalam sebagian besar kuartal antara 2021 hingga 2023, platform keuangan terdesentralisasi (DeFi) adalah target utama hacker cryptocurrency. Platform DeFi mungkin lebih mudah diserang karena pengembangnya cenderung memprioritaskan pertumbuhan cepat dan peluncuran produk ke pasar daripada mengimplementasikan langkah-langkah keamanan, yang menjadikannya target utama bagi hacker.
Meskipun pada kuartal pertama 2024 DeFi masih mendominasi proporsi terbesar aset yang dicuri, layanan terpusat adalah yang paling menjadi target pada kuartal kedua dan ketiga. Beberapa serangan hacker layanan terpusat yang paling terkenal termasuk DMM Bitcoin (Mei 2024; 305 juta dolar AS) dan WazirX (Juli 2024; 234,9 juta dolar AS).
Peralihan fokus ini dari DeFi ke layanan terpusat semakin menyoroti pentingnya mekanisme keamanan yang sering digunakan oleh hacker (seperti kunci pribadi). Pada tahun 2024, kebocoran kunci pribadi menyumbang proporsi terbesar dalam cryptocurrency yang dicuri, mencapai 43,8%. Untuk layanan terpusat, memastikan keamanan kunci pribadi sangat penting, karena mereka mengontrol akses ke aset pengguna. Mengingat bursa terpusat mengelola sejumlah besar dana pengguna, dampak dari kebocoran kunci pribadi dapat menjadi yang paling merusak; kita hanya perlu melihat insiden hacker DMM Bitcoin senilai 305 juta dolar AS, yang merupakan salah satu pelanggaran cryptocurrency terbesar hingga saat ini, yang kemungkinan disebabkan oleh pengelolaan kunci pribadi yang buruk atau kurangnya keamanan yang memadai.
Setelah kebocoran kunci pribadi, aktor jahat biasanya mencuci dana yang dicuri melalui bursa terdesentralisasi (DEX), layanan penambangan, atau layanan pencampuran, sehingga membingungkan jejak transaksi dan menyulitkan pelacakan. Pada tahun 2024, kita dapat melihat bahwa aktivitas pencucian uang oleh hacker kunci pribadi sangat berbeda dari yang dilakukan oleh hacker yang memanfaatkan media serangan lain. Misalnya, setelah mencuri kunci pribadi, hacker ini sering beralih ke layanan jembatan dan pencampuran. Untuk media serangan lainnya, bursa terdesentralisasi lebih umum digunakan untuk aktivitas pencucian uang.
Pada tahun 2024, jumlah uang yang dicuri oleh hacker Korea Utara dari platform kripto akan lebih banyak dari sebelumnya
Hacker yang terkait dengan Korea Utara terkenal karena metode mereka yang rumit dan tanpa ampun, sering memanfaatkan malware canggih, rekayasa sosial, dan pencurian cryptocurrency untuk mendanai operasi yang didanai negara dan menghindari sanksi internasional. Pejabat AS dan internasional memperkirakan bahwa Pyongyang menggunakan cryptocurrency yang dicuri untuk mendanai program senjata pemusnah massal dan rudal balistiknya, yang mengancam keamanan internasional. Pada tahun 2023, hacker yang terkait dengan Korea Utara diperkirakan telah mencuri sekitar 660,5 juta dolar AS melalui 20 insiden; pada tahun 2024, angka ini meningkat menjadi 1,34 miliar dolar AS dalam 47 insiden, dengan nilai yang dicuri meningkat sebesar 102,88%. Angka-angka ini mewakili 61% dari total jumlah yang dicuri pada tahun itu dan 20% dari total insiden.
Perlu dicatat bahwa dalam laporan tahun lalu, kami merilis informasi bahwa Korea Utara mencuri 1 miliar dolar melalui 20 serangan hacker. Setelah penyelidikan lebih lanjut, kami menemukan bahwa beberapa serangan besar yang sebelumnya dikaitkan dengan Korea Utara mungkin tidak lagi relevan, sehingga jumlahnya turun menjadi 660,5 juta dolar. Namun, jumlah insiden tetap sama karena kami menemukan serangan hacker kecil lainnya yang dikaitkan dengan Korea Utara. Saat kami mendapatkan bukti on-chain dan off-chain baru, kami bertujuan untuk terus mengevaluasi penilaian kami terhadap insiden hacker yang terkait dengan Korea Utara.
Sayangnya, serangan cryptocurrency Korea Utara tampaknya semakin sering terjadi. Dalam grafik di bawah ini, kami memeriksa rata-rata waktu antara keberhasilan serangan DPRK berdasarkan skala eksploitasi, menemukan bahwa frekuensi serangan dari berbagai skala menurun dibandingkan tahun lalu. Menariknya, serangan dengan nilai antara 50 hingga 100 juta dolar dan di atas 100 juta dolar terjadi jauh lebih sering dibandingkan tahun 2023, menunjukkan bahwa Korea Utara semakin baik dan lebih cepat dalam melakukan serangan besar. Ini kontras tajam dengan dua tahun sebelumnya, di mana setiap keuntungan mereka sering kali kurang dari 50 juta dolar.
Ketika membandingkan aktivitas Korea Utara dengan semua aktivitas hacker lain yang kami pantau, menjadi jelas bahwa Korea Utara bertanggung jawab atas sebagian besar serangan besar dalam tiga tahun terakhir. Menariknya, meskipun jumlah serangan hacker Korea Utara lebih rendah, kepadatan serangan hacker dengan nilai sekitar 10.000 dolar terus meningkat.
Beberapa insiden ini tampaknya terkait dengan profesional TI Korea Utara, yang semakin banyak menyusup ke perusahaan cryptocurrency dan Web3, merusak jaringan, operasi, dan integritas mereka. Karyawan ini sering menggunakan strategi, teknik, dan prosedur (TTP) yang rumit, seperti identitas palsu, menyewa perantara perekrutan pihak ketiga, dan memanipulasi peluang kerja jarak jauh untuk mendapatkan akses. Dalam kasus terbaru, Departemen Kehakiman AS (DOJ) pada hari Rabu mendakwa 14 warga negara Korea Utara yang bekerja sebagai profesional TI jarak jauh di AS. Mereka telah menghasilkan lebih dari 88 juta dolar AS dengan mencuri informasi rahasia dan memeras majikan.
Untuk mengurangi risiko ini, perusahaan harus memprioritaskan due diligence perekrutan yang menyeluruh—termasuk pemeriksaan latar belakang dan verifikasi identitas—sambil menjaga keamanan kunci pribadi yang kuat untuk melindungi aset penting (jika berlaku).
Meskipun semua tren ini menunjukkan bahwa Korea Utara sangat aktif tahun ini, sebagian besar serangan terjadi pada awal tahun, dengan aktivitas hacker secara keseluruhan terhenti di kuartal ketiga dan keempat, seperti yang ditunjukkan oleh grafik sebelumnya.
Pada akhir Juni 2024, Presiden Rusia Vladimir Putin dan Pemimpin Korea Utara Kim Jong-un juga akan mengadakan pertemuan di Pyongyang untuk menandatangani perjanjian pertahanan bersama. Hingga saat ini, Rusia telah melepaskan aset Korea Utara senilai jutaan dolar yang sebelumnya dibekukan berdasarkan sanksi Dewan Keamanan PBB, menandakan perkembangan terus-menerus dalam aliansi kedua negara. Sementara itu, Korea Utara telah mengerahkan pasukan ke Ukraina dan menyediakan rudal balistik untuk Rusia dan dilaporkan juga meminta teknologi ruang angkasa, rudal, dan kapal selam yang canggih dari Moskow.
Jika kita membandingkan kerugian rata-rata harian dari celah DPRK sebelum dan sesudah 1 Juli 2024, kita dapat melihat bahwa jumlah nilai yang dicuri menunjukkan penurunan yang signifikan. Seperti yang ditunjukkan pada gambar di bawah, setelah itu jumlah yang dicuri oleh Korea Utara turun sekitar 53,73%, sementara jumlah yang dicuri oleh pihak non-Korea Utara meningkat sekitar 5%. Oleh karena itu, selain mengalihkan sumber daya militer untuk konflik Ukraina, Korea Utara yang telah meningkatkan kerjasama dengan Rusia secara signifikan dalam beberapa tahun terakhir mungkin juga telah mengubah aktivitas kejahatan sibernya.
Setelah 1 Juli 2024, penurunan pencurian dana oleh Korea Utara menjadi jelas, dan waktunya juga sangat jelas, tetapi perlu dicatat bahwa penurunan ini tidak selalu berkaitan dengan kunjungan Putin ke Pyongyang. Selain itu, beberapa peristiwa yang terjadi pada bulan Desember dapat mengubah pola ini di akhir tahun, dan penyerang sering melakukan serangan selama periode liburan.
Studi Kasus: Serangan Korea Utara terhadap DMM Bitcoin
Salah satu contoh terkenal serangan hacker yang terkait dengan Korea Utara pada tahun 2024 melibatkan bursa cryptocurrency Jepang DMM Bitcoin, yang diserang dan menyebabkan kehilangan sekitar 4.502,9 Bitcoin, yang pada saat itu bernilai 305 juta dolar AS. Penyerang mengeksploitasi kerentanan dalam infrastruktur yang digunakan oleh DMM, yang mengakibatkan penarikan tanpa otorisasi. Dalam hal ini, DMM, dengan dukungan dari perusahaan grup, mencari dana yang setara untuk membayar penuh setoran pelanggan.
Kami dapat menganalisis aliran dana di blockchain setelah serangan awal, pada tahap pertama, kami melihat penyerang memindahkan cryptocurrency senilai jutaan dolar dari DMM Bitcoin ke beberapa alamat perantara, sebelum akhirnya mencapai server pencampur Bitcoin CoinJoin.
Setelah berhasil mencampur dana yang dicuri menggunakan layanan pencampuran Bitcoin CoinJoin, penyerang mentransfer sebagian dari dana tersebut ke Huioneguarantee, yang merupakan pasar online yang terkait dengan kelompok bisnis Kamboja Huione Group, yang merupakan pemain penting dalam memfasilitasi kejahatan siber.
DMM Bitcoin telah memindahkan aset dan akun pelanggan ke anak perusahaan grup keuangan Jepang SBI Group, SBI VC Trade, dengan transisi dijadwalkan selesai pada Maret 2025. Untungnya, alat dan teknologi prediksi baru sedang muncul, yang akan kita bahas di bagian berikutnya, untuk mempersiapkan pencegahan terjadinya serangan hacker yang merusak tersebut.
Menggunakan model prediksi untuk mencegah serangan hacker
Teknologi prediksi canggih sedang mengubah keamanan siber dengan mendeteksi risiko dan ancaman potensial secara real-time, memberikan pendekatan proaktif untuk melindungi ekosistem digital. Mari kita lihat contoh berikut yang melibatkan penyedia likuiditas terdesentralisasi UwU Lend.
Pada 10 Juni 2024, penyerang mendapatkan sekitar 20 juta dolar AS dengan memanipulasi sistem orakel harga UwU Lend. Penyerang melancarkan serangan pinjaman kilat untuk mengubah harga Ethena Staked USDe (sUSDe) di beberapa orakel, menghasilkan penilaian yang tidak tepat. Dengan demikian, penyerang dapat meminjam jutaan dolar dalam waktu tujuh menit. Hexagate mendeteksi kontrak serangan dan penyebaran serupa sekitar dua hari sebelum eksploitasi.
Meskipun kontrak serangan terdeteksi dengan akurat dua hari sebelum eksploitasi, karena alasan desain, hubungan antara kontrak yang dieksploitasi tidak segera terlihat. Dengan alat lain seperti orakel keamanan Hexagate, deteksi awal ini dapat dimanfaatkan lebih lanjut untuk mengurangi ancaman. Perlu dicatat bahwa serangan pertama yang mengakibatkan kerugian 8,2 juta dolar terjadi beberapa menit sebelum serangan berikutnya, memberikan sinyal penting lainnya.
Peringatan semacam ini yang dikeluarkan sebelum serangan besar di rantai dapat mengubah keamanan para pelaku industri, memungkinkan mereka untuk sepenuhnya mencegah serangan hacker yang mahal daripada hanya meresponsnya.
Dalam grafik di bawah ini, kita melihat bahwa penyerang memindahkan dana yang dicuri melalui dua alamat perantara sebelum mencapai pencampur kontrak pintar Ethereum Tornado Cash yang disetujui OFAC.
Namun, perlu dicatat bahwa hanya mengakses model prediksi ini tidak menjamin pencegahan serangan hacker, karena protokol mungkin tidak selalu memiliki alat yang tepat untuk mengambil tindakan yang efektif.
Diperlukan keamanan kripto yang lebih kuat
Peningkatan cryptocurrency yang dicuri pada tahun 2024 menyoroti perlunya industri untuk menghadapi ancaman yang semakin kompleks dan terus berubah. Meskipun skala pencurian cryptocurrency belum pulih ke tingkat tahun 2021 dan 2022, kebangkitan di atas menyoroti kesenjangan dalam langkah-langkah keamanan yang ada dan pentingnya beradaptasi dengan metode eksploitasi baru. Untuk secara efektif menangani tantangan ini, kolaborasi antara sektor publik dan swasta sangat penting. Program berbagi data, solusi keamanan real-time, alat pelacakan canggih, dan pelatihan yang ditargetkan dapat memberdayakan pemangku kepentingan untuk dengan cepat mengidentifikasi dan memberantas aktor jahat, sekaligus membangun ketahanan yang diperlukan untuk melindungi aset cryptocurrency.
Selain itu, seiring dengan perkembangan kerangka regulasi cryptocurrency, pengawasan terhadap keamanan platform dan perlindungan aset pelanggan mungkin akan diperkuat. Praktik terbaik industri harus mengikuti perubahan ini untuk memastikan pencegahan dan akuntabilitas. Dengan membangun kemitraan yang lebih kuat dengan penegak hukum dan menyediakan sumber daya serta keahlian respons cepat untuk tim, industri cryptocurrency dapat memperkuat kemampuan anti-pencurian mereka. Upaya ini tidak hanya penting untuk melindungi aset individu, tetapi juga untuk membangun kepercayaan dan stabilitas jangka panjang dalam ekosistem digital.