Fonte: Chainalysis; Compilato da Tao Zhu, Jinse Finance

Gli attacchi hacker contro le criptovalute rimangono una minaccia persistente, con oltre 10 miliardi di dollari di criptovalute rubate negli ultimi dieci anni (2018, 2021, 2022 e 2023). Il 2024 rappresenta il quinto anno in cui si raggiunge questo inquietante traguardo, evidenziando che, con l'adozione delle criptovalute e l'aumento dei prezzi, anche l'importo rubabile sta crescendo.

Nel 2024, i fondi rubati sono aumentati di circa il 21,07% rispetto all'anno precedente, raggiungendo i 2,2 miliardi di dollari, mentre il numero di eventi di hackeraggio individuali è passato da 282 nel 2023 a 303 nel 2024.

minJ6AdbAzIr93rtphMGqfnqFH86fvC2kCYLrsn4.jpegÈ interessante notare che l'intensità degli attacchi di hacker di criptovalute ha mostrato cambiamenti nell'arco della prima metà di quest'anno. Nel nostro aggiornamento sui crimini a metà anno, abbiamo notato che il valore totale rubato accumulato tra gennaio 2024 e luglio 2024 ha raggiunto i 1,58 miliardi di dollari, superiore di circa il 84,4% rispetto al valore rubato nello stesso periodo del 2023. Come vediamo nel grafico sottostante, entro la fine di luglio, l'ecosistema sembra essere tornato in carreggiata, e quest'anno potrebbe competere con i più di 3 miliardi di dollari del 2021 e del 2022. Tuttavia, la tendenza al rialzo del furto di criptovalute nel 2024 ha mostrato un evidente rallentamento dopo luglio, mantenendosi poi relativamente stabile. Più tardi, esploreremo le potenziali ragioni geopolitiche di questo cambiamento.

m3V7NqXp1UDZ6WkHp9QAZKYrHSDP5A5vYpEtnXY8.jpeg

Nel 2024 si osservano anche modelli interessanti riguardo agli importi rubati in base al tipo di piattaforma vittima. Nella maggior parte dei trimestri dal 2021 al 2023, le piattaforme di finanza decentralizzata (DeFi) sono state il principale obiettivo degli hacker di criptovalute. Le piattaforme DeFi possono essere più vulnerabili agli attacchi, poiché gli sviluppatori tendono a dare priorità alla rapida crescita e al lancio dei prodotti piuttosto che all'implementazione di misure di sicurezza, rendendole un obiettivo primario per gli hacker.

Sebbene nel primo trimestre del 2024 le DeFi rappresentino ancora la quota maggiore degli asset rubati, i servizi centralizzati sono stati i più colpiti nel secondo e terzo trimestre. Alcuni degli attacchi hacker più noti ai servizi centralizzati includono DMM Bitcoin (maggio 2024; 305 milioni di dollari) e WazirX (luglio 2024; 234,9 milioni di dollari).

UnPkZQOqMsaIPIdikcioDAPDZh6wGxeiiPrNxIbt.jpeg

Questo spostamento di focus dai servizi DeFi ai servizi centralizzati evidenzia l'importanza crescente dei meccanismi di sicurezza comunemente utilizzati dagli hacker (come le chiavi private). Nel 2024, la fuga di chiavi private ha rappresentato la quota più alta di criptovalute rubate, raggiungendo il 43,8%. Per i servizi centralizzati, è fondamentale garantire la sicurezza delle chiavi private, poiché controllano l'accesso agli asset degli utenti. Dato che gli exchange centralizzati gestiscono ingenti fondi degli utenti, l'impatto della fuga di chiavi private può essere devastante; basta guardare l'incidente hacker di DMM Bitcoin, del valore di 305 milioni di dollari, che è uno dei più grandi exploit di criptovalute fino ad oggi e potrebbe essere stato causato da una gestione inadeguata delle chiavi private o dalla mancanza di sicurezza sufficiente.

fQW0bbhcN6KcIiLeq9ytIC4gRRgKKXzX0njBC99k.jpeg

Dopo la fuga di chiavi private, gli attori malintenzionati spesso riciclano i fondi rubati attraverso exchange decentralizzati (DEX), servizi di mining o servizi di miscelazione, confondendo così i percorsi delle transazioni e complicando il tracciamento. Entro il 2024, possiamo osservare che le attività di riciclaggio dei fondi da parte degli hacker delle chiavi private differiscono notevolmente da quelle degli hacker che utilizzano altri mezzi d'attacco. Ad esempio, dopo aver rubato le chiavi private, questi hacker spesso si rivolgono a servizi di bridging e miscelazione. Per altri mezzi d'attacco, gli exchange decentralizzati sono utilizzati più comunemente per le attività di riciclaggio.

3Wuj4og3n1ht93TESVzy9ouLFuzwJJXMLVN8axQQ.jpeg

Nel 2024, l'importo rubato dagli hacker nordcoreani dalle piattaforme di criptovalute sarà maggiore che mai.

Gli hacker legati alla Corea del Nord sono noti per i loro metodi complessi e spietati, spesso sfruttando malware avanzato, ingegneria sociale e furti di criptovalute per finanziare operazioni sponsorizzate dallo stato e eludere le sanzioni internazionali. Le valutazioni da parte di funzionari americani e internazionali suggeriscono che Pyongyang utilizza le criptovalute rubate per finanziare il suo programma di armi di distruzione di massa e missili balistici, minacciando la sicurezza internazionale. Fino al 2023, gli hacker legati alla Corea del Nord avevano rubato circa 660,5 milioni di dollari attraverso 20 eventi; entro il 2024, questa cifra è aumentata a 1,34 miliardi di dollari in 47 eventi, con un aumento del 102,88% nel valore rubato. Questi numeri rappresentano il 61% del totale rubato quell'anno e il 20% del numero totale di eventi.

Si noti che nel rapporto dell'anno scorso abbiamo affermato che la Corea del Nord aveva rubato 1 miliardo di dollari tramite 20 attacchi hacker. Dopo ulteriori indagini, abbiamo determinato che alcuni dei precedenti attacchi hacker di grandi dimensioni attribuiti alla Corea del Nord potrebbero non essere più rilevanti, riducendo così l'importo a 660,5 milioni di dollari. Tuttavia, il numero di eventi è rimasto invariato poiché abbiamo identificato altri attacchi hacker minori attribuiti alla Corea del Nord. Ci impegniamo a riesaminare continuamente le nostre valutazioni degli eventi di hackeraggio legati alla Corea del Nord man mano che otteniamo nuove prove on-chain e off-chain.

6PwlHopjIh3YQGfHDiYFxa3Lwi6LHwocT4PPyJdd.jpeg

Sfortunatamente, gli attacchi informatici della Corea del Nord sembrano diventare sempre più frequenti. Nella grafica sottostante, esaminiamo il tempo medio tra il successo degli attacchi DPRK in base alla scala dell'exploit, scoprendo che gli attacchi di varie dimensioni sono diminuiti rispetto all'anno precedente. È interessante notare che nel 2024 la frequenza degli attacchi di valore compreso tra 50 e 100 milioni di dollari e superiori a 100 milioni di dollari è molto più alta rispetto al 2023, suggerendo che la Corea del Nord sta migliorando e accelerando le sue operazioni di attacco di massa. Questo contrasta nettamente con i due anni precedenti, in cui i profitti per attacco tendevano a essere inferiori a 50 milioni di dollari.

M9NrVEr7Bmr9lBpkmS9bHlVwo0OsSsiBhOMr27Ot.jpeg

Nel confrontare le attività della Corea del Nord con tutte le altre attività di hacker che monitoriamo, è evidente che la Corea del Nord è stata responsabile della maggior parte degli attacchi di massa negli ultimi tre anni. È interessante notare che gli attacchi hacker della Corea del Nord hanno registrato importi più bassi, in particolare la densità degli attacchi hacker intorno a 10.000 dollari sta aumentando.

Fy4FnCPPLvZIwBxpte6H7w60l19dPMcAo76QwyjU.jpeg

Alcuni di questi eventi sembrano essere collegati a professionisti IT nordcoreani, che stanno infiltrandosi sempre più nelle aziende di criptovalute e Web3, compromettendo le loro reti, operazioni e integrità. Questi dipendenti spesso utilizzano strategie, tecnologie e pratiche complesse, come identità false, assunzione di intermediari di reclutamento di terze parti e manipolazione delle opportunità di lavoro a distanza per ottenere accesso. In un caso recente, il Dipartimento di Giustizia degli Stati Uniti ha accusato mercoledì 14 cittadini nordcoreani che lavoravano da remoto negli Stati Uniti. Le aziende hanno guadagnato oltre 88 milioni di dollari rubando informazioni proprietary e estorcendo i datori di lavoro.

Per mitigare questi rischi, le aziende dovrebbero dare priorità a un'accurata due diligence sui dipendenti, inclusi controlli dei precedenti e verifiche dell'identità, mantenendo al contempo una forte sicurezza delle chiavi private per proteggere gli asset critici (se applicabile).

Sebbene tutte queste tendenze suggeriscano che la Corea del Nord sia stata molto attiva quest'anno, la maggior parte dei suoi attacchi si è verificata all'inizio dell'anno, con un'attività hacker complessiva che è diminuita nel terzo e quarto trimestre, come mostrato nei grafici precedenti.

dkZ8DjiPY3AoRpHMD20RuYBMZZAkNT5cPuzoHrT7.jpeg

Alla fine di giugno 2024, il presidente russo Vladimir Putin e il leader nordcoreano Kim Jong Un si incontreranno a Pyongyang per firmare un accordo di difesa comune. Fino ad ora quest'anno, la Russia ha liberato milioni di dollari di beni nordcoreani precedentemente congelati in base alle sanzioni del Consiglio di Sicurezza delle Nazioni Unite, segnando un'evoluzione continua dell'alleanza tra i due paesi. Nel frattempo, la Corea del Nord ha dispiegato truppe in Ucraina e ha fornito missili balistici alla Russia, e si riporta che sta anche cercando tecnologie avanzate in materia di spazio, missili e sottomarini da Mosca.

Se confrontiamo le perdite giornaliere dovute a exploit DPRK prima e dopo il 1° luglio 2024, possiamo vedere che l'importo del valore rubato è significativamente diminuito. Come mostrato nel grafico sottostante, l'importo rubato dalla Corea del Nord è diminuito di circa il 53,73%, mentre l'importo rubato da non coreani è aumentato di circa il 5%. Pertanto, oltre a deviare le risorse militari verso il conflitto in Ucraina, la Corea del Nord, che ha notevolmente intensificato la cooperazione con la Russia negli ultimi anni, potrebbe anche aver cambiato le sue attività di cybercriminalità.

LhryntjNb2L3byMCN0jxOVm6GzJ4D6C0ud1PgkMF.jpeg

La diminuzione dei fondi rubati dalla Corea del Nord dopo il 1° luglio 2024 è evidente e il tempismo è chiaro, ma è interessante notare che questa diminuzione non è necessariamente correlata alla visita di Putin a Pyongyang. Inoltre, alcuni eventi che si sono verificati a dicembre potrebbero alterare questo modello entro la fine dell'anno, e gli aggressori tendono spesso a lanciare attacchi durante le festività.

Studio di caso: l'attacco della Corea del Nord a DMM Bitcoin

Un esempio noto di attacco hacker legato alla Corea del Nord nel 2024 coinvolge l'exchange di criptovalute giapponese DMM Bitcoin, che è stato hackerato, portando a una perdita di circa 4.502,9 Bitcoin, all'epoca del valore di 305 milioni di dollari. Gli aggressori hanno sfruttato le vulnerabilità nell'infrastruttura utilizzata da DMM, portando a prelievi non autorizzati. In risposta, DMM, con il supporto della società madre, ha ripagato integralmente i depositi dei clienti cercando fondi equivalenti.

Siamo stati in grado di analizzare i flussi di fondi on-chain dopo l'attacco iniziale, nella prima fase, abbiamo visto che gli aggressori trasferivano criptovalute del valore di milioni di dollari da DMM Bitcoin a diversi indirizzi intermedi, prima di arrivare infine al server di miscelazione Bitcoin CoinJoin.

n2SmBjbuTWsyz5OKWVX3Dh9q8Hrw7Qgb2fNvAAl9.jpeg

Dopo aver miscelato con successo i fondi rubati utilizzando i servizi di miscelazione Bitcoin CoinJoin, gli aggressori hanno trasferito parte dei fondi a Huioneguarantee tramite alcuni servizi di bridging, un mercato online collegato al gruppo aziendale cambogiano Huione Group, un importante attore nel settore che facilita il cybercrimine.

3DDOS2tjEDyWcYzmLPR27S4Sc016YRx1gd8yQ4Vf.jpeg

DMM Bitcoin ha trasferito i suoi asset e i conti dei clienti alla sussidiaria del gruppo finanziario giapponese SBI Group, SBI VC Trade, con una transizione prevista per completarsi entro marzo 2025. Fortunatamente, nuovi strumenti e tecnologie predittive stanno emergendo e li esploreremo nella prossima sezione per prepararci a prevenire la verifica di tali attacchi hacker distruttivi.

Utilizzare modelli predittivi per fermare gli attacchi hacker

Tecnologie predittive avanzate stanno trasformando la sicurezza informatica attraverso il rilevamento in tempo reale di rischi e minacce, offrendo un approccio proattivo per proteggere gli ecosistemi digitali. Esaminiamo l'esempio sottostante, che coinvolge il fornitore di liquidità decentralizzato UwU Lend.

Il 10 giugno 2024, gli aggressori hanno ottenuto circa 20 milioni di dollari di fondi manipolando il sistema di oracolo dei prezzi di UwU Lend. Gli aggressori hanno lanciato un attacco di prestiti flash per alterare il prezzo di Ethena Staked USDe (sUSDe) su più oracoli, portando a una valutazione errata. Di conseguenza, gli aggressori sono stati in grado di prendere in prestito milioni di dollari in sette minuti. Hexagate ha rilevato il contratto di attacco e il suo deploy simile circa due giorni prima dell'exploit.

Sebbene il contratto di attacco sia stato rilevato con precisione in tempo reale due giorni prima dell'exploit, a causa della sua progettazione, il suo legame con il contratto sfruttato non è emerso immediatamente. Con strumenti come gli oracoli di sicurezza di Hexagate, è possibile sfruttare ulteriormente questa rilevazione precoce per mitigare la minaccia. È interessante notare che il primo attacco che ha portato a una perdita di 8,2 milioni di dollari è avvenuto pochi minuti prima dell'attacco successivo, fornendo un altro segnale importante.

Tali avvisi emessi prima di attacchi on-chain significativi hanno il potenziale di alterare la sicurezza degli attori del settore, permettendo loro di prevenire completamente costosi attacchi hacker, piuttosto che rispondere ad essi.

59DXjYwczvFvXvVbujglt57Jg7tpCGPTmkXHQ6XZ.jpeg

Nella grafica sottostante, vediamo che gli aggressori hanno trasferito i fondi rubati attraverso due indirizzi intermedi prima che arrivassero al miscelatore di contratti intelligenti Ethereum approvato dall'OFAC, Tornado Cash.

bULNHgVtsnh9uSSULtVyPgyjRSToijouh5CGtYCg.jpeg

Tuttavia, vale la pena notare che accedere semplicemente a questi modelli predittivi non garantisce la prevenzione degli attacchi hacker, poiché i protocolli potrebbero non sempre disporre degli strumenti adeguati per agire efficacemente.

Necessità di una maggiore sicurezza crittografica

L'aumento delle criptovalute rubate nel 2024 evidenzia la necessità per il settore di affrontare un panorama di minacce sempre più complesso e in continua evoluzione. Sebbene la scala dei furti di criptovalute non sia tornata ai livelli del 2021 e 2022, la riemersione di cui sopra sottolinea le lacune nelle misure di sicurezza esistenti e l'importanza di adattarsi a nuovi metodi di sfruttamento. Per affrontare efficacemente queste sfide, è fondamentale la collaborazione tra settore pubblico e privato. Programmi di condivisione dei dati, soluzioni di sicurezza in tempo reale, strumenti di tracciamento avanzati e formazione mirata possono consentire agli stakeholder di identificare e neutralizzare rapidamente gli attori malevoli, costruendo al contempo la resilienza necessaria per proteggere gli asset crittografici.

Inoltre, con l'evoluzione continua del quadro normativo sulle criptovalute, la revisione della sicurezza delle piattaforme e della protezione degli asset dei clienti potrebbe intensificarsi. Le migliori pratiche del settore devono tenere il passo con questi cambiamenti per garantire prevenzione e responsabilità. Collaborando con le forze dell'ordine e fornendo risorse e competenze per risposte rapide, il settore delle criptovalute può rafforzare le proprie capacità di prevenzione dei furti. Questi sforzi sono cruciali non solo per proteggere gli asset individuali, ma anche per costruire una fiducia e stabilità a lungo termine nell'ecosistema digitale.