Fonte: Chainalysis; Tradotto da Tao Zhu, Jinse Finance
Gli attacchi informatici alle criptovalute rimangono una minaccia persistente, con oltre 10 miliardi di dollari rubati in criptovalute in quattro degli ultimi dieci anni (2018, 2021, 2022 e 2023). Il 2024 segna il quinto anno in cui si raggiunge questo inquietante traguardo, evidenziando che con l'adozione delle criptovalute e l'aumento dei prezzi, l'importo rubabile sta crescendo.
Nel 2024, il valore dei fondi rubati è aumentato di circa il 21,07% rispetto all'anno precedente, raggiungendo i 2,2 miliardi di dollari, mentre il numero di eventi di hacking individuali è aumentato da 282 nel 2023 a 303 nel 2024.
È interessante notare che l'intensità degli attacchi informatici alle criptovalute ha subito un cambiamento intorno alla prima metà di quest'anno. Nella nostra aggiornamento semestrale sui crimini, abbiamo notato che il valore cumulativo rubato tra gennaio e luglio 2024 ha raggiunto 1,58 miliardi di dollari, circa il 84,4% in più rispetto al valore rubato nello stesso periodo del 2023. Come vediamo nei grafici sottostanti, entro la fine di luglio, l'ecosistema sembra essere sulla buona strada, con quest'anno che potrebbe competere con i più di 3 miliardi di dollari del 2021 e 2022. Tuttavia, la tendenza al rialzo delle criptovalute rubate nel 2024 ha chiaramente rallentato dopo luglio, mantenendosi relativamente stabile. Più avanti esploreremo le potenziali ragioni geopolitiche di questo cambiamento.
Nel 2024 è emerso un interessante modello in termini di importo rubato suddiviso per tipologia di piattaforma vittima. Nella maggior parte dei trimestri dal 2021 al 2023, le piattaforme di finanza decentralizzata (DeFi) sono state i principali obiettivi degli hacker di criptovalute. Le piattaforme DeFi possono essere più vulnerabili agli attacchi, poiché i loro sviluppatori tendono a dare priorità alla crescita rapida e al lancio dei prodotti piuttosto che all'implementazione di misure di sicurezza, il che le rende un obiettivo privilegiato per gli hacker.
Sebbene nel primo trimestre del 2024 il DeFi continui a rappresentare la quota maggiore dei beni rubati, i servizi centralizzati sono stati i più colpiti nel secondo e terzo trimestre. Alcuni dei più noti attacchi informatici ai servizi centralizzati includono DMM Bitcoin (maggio 2024; 305 milioni di dollari) e WazirX (luglio 2024; 234,9 milioni di dollari).
Questo spostamento di focus dai servizi DeFi ai servizi centralizzati evidenzia l'importanza crescente dei meccanismi di sicurezza comunemente utilizzati dagli hacker, come le chiavi private. Nel 2024, la fuga di chiavi private rappresenta la percentuale più alta nel valore delle criptovalute rubate, raggiungendo il 43,8%. Per i servizi centralizzati, è fondamentale garantire la sicurezza delle chiavi private poiché controllano l'accesso agli asset degli utenti. Dato che gli exchange centralizzati gestiscono enormi quantità di fondi degli utenti, l'impatto di una fuga di chiavi private può essere devastante; basta guardare l'attacco di DMM Bitcoin del valore di 305 milioni di dollari, che è stato uno dei più grandi exploit di criptovalute fino ad oggi, avvenuto probabilmente a causa di una gestione inadeguata delle chiavi private o di una mancanza di sicurezza sufficiente.
Dopo la fuga della chiave privata, gli attori malevoli tendono a riciclare i fondi rubati attraverso scambi decentralizzati (DEX), servizi di mining o servizi di mixing, confondendo la traccia delle transazioni e rendendo più complessa la loro individuazione. Entro il 2024, possiamo osservare che le attività di riciclaggio dei pirati informatici che rubano chiavi private differiscono notevolmente rispetto a quelle dei pirati informatici che utilizzano altri mezzi di attacco. Ad esempio, dopo aver rubato una chiave privata, questi hacker si rivolgono spesso a servizi di bridging e mixing. Gli scambi decentralizzati sono più comunemente utilizzati per le attività di riciclaggio relative ad altri mezzi di attacco.
Nel 2024, l'importo rubato dai hacker nordcoreani dalle piattaforme crittografiche sarà maggiore che mai.
Gli hacker associati alla Corea del Nord sono noti per i loro metodi complessi e spietati, spesso sfruttando malware avanzati, ingegneria sociale e furti di criptovalute per finanziare azioni statali e eludere le sanzioni internazionali. I funzionari statunitensi e internazionali valutano che Pyongyang utilizzi le criptovalute rubate per finanziare i suoi programmi di armi di distruzione di massa e missili balistici, rappresentando una minaccia per la sicurezza internazionale. Fino al 2023, gli hacker associati alla Corea del Nord hanno rubato circa 660,5 milioni di dollari in 20 eventi; entro il 2024, questo numero è aumentato a 1,34 miliardi di dollari in 47 eventi, con un aumento del valore rubato del 102,88%. Questi numeri rappresentano il 61% del valore totale rubato quell'anno e il 20% del numero totale di eventi.
Si prega di notare che nel rapporto dell'anno scorso abbiamo pubblicato informazioni secondo cui la Corea del Nord aveva rubato 1 miliardo di dollari attraverso 20 attacchi informatici. Dopo ulteriori indagini, abbiamo determinato che alcuni grandi attacchi informatici precedentemente attribuiti alla Corea del Nord potrebbero non essere più rilevanti, riducendo l'importo a 660,5 milioni di dollari. Tuttavia, il numero degli eventi è rimasto invariato poiché abbiamo scoperto altri attacchi informatici minori attribuibili alla Corea del Nord. Quando otteniamo nuove prove on-chain e off-chain, il nostro obiettivo è riesaminare continuamente la nostra valutazione degli eventi di hacking correlati alla Corea del Nord.
Sfortunatamente, gli attacchi informatici della Corea del Nord sembrano essere diventati sempre più frequenti. Nel grafico sottostante, esaminiamo il tempo medio tra il successo degli attacchi DPRK in base alla scala dell'exploit, scoprendo che gli attacchi di varie dimensioni sono diminuiti anno su anno. È degno di nota che la frequenza degli attacchi del valore di 50 milioni a 100 milioni di dollari e oltre 100 milioni di dollari è molto più alta nel 2024 rispetto al 2023, indicando che la Corea del Nord sta migliorando e accelerando nel condurre attacchi di grande portata. Questo contrasta nettamente con i due anni precedenti, dove il profitto medio per attacco tendeva a essere inferiore a 50 milioni di dollari.
Quando confrontiamo le attività della Corea del Nord con tutte le altre attività di hacking che monitoriamo, è chiaro che la Corea del Nord è stata responsabile della maggior parte degli attacchi su larga scala negli ultimi tre anni. È interessante notare che gli importi degli attacchi informatici nordcoreani sono relativamente bassi, in particolare la densità degli attacchi informatici intorno ai 10.000 dollari continua ad aumentare.
Alcuni di questi eventi sembrano essere collegati a professionisti IT nordcoreani che stanno penetrando sempre di più nelle aziende di criptovalute e Web3, compromettendo le loro reti, operazioni e integrità. Questi dipendenti utilizzano spesso strategie, tecniche e procedure complesse (TTP), come identità false, assunzione di intermediari di reclutamento di terze parti e manipolazione delle opportunità di lavoro remoto per ottenere accesso. In un recente caso, il Dipartimento di Giustizia degli Stati Uniti (DOJ) ha accusato mercoledì 14 cittadini nordcoreani che lavoravano come professionisti IT remoti negli Stati Uniti. Le aziende hanno guadagnato oltre 88 milioni di dollari rubando informazioni riservate e ricattando i datori di lavoro.
Per mitigare questi rischi, le aziende dovrebbero dare priorità a una rigorosa due diligence assuntiva, inclusi controlli di background e verifica dell'identità, mantenendo al contempo una solida sicurezza delle chiavi private per proteggere gli asset critici (se applicabile).
Nonostante tutte queste tendenze indicano che la Corea del Nord è stata molto attiva quest'anno, la maggior parte dei suoi attacchi si è verificata all'inizio dell'anno, con le attività complessive di hacking che sono stagnate nel terzo e quarto trimestre, come mostrato nei grafici precedenti.
Nella seconda metà di giugno 2024, il presidente russo Vladimir Putin e il leader nordcoreano Kim Jong-un si incontreranno a Pyongyang per firmare un accordo di difesa comune. Finora quest'anno, la Russia ha liberato milioni di dollari di beni nordcoreani precedentemente congelati, in conformità con le sanzioni del Consiglio di Sicurezza delle Nazioni Unite, segnando un'evoluzione costante dell'alleanza tra i due paesi. Nel frattempo, la Corea del Nord ha schierato truppe in Ucraina e fornito missili balistici alla Russia, e si dice che abbia cercato tecnologie avanzate per lo spazio, i missili e i sottomarini da Mosca.
Se confrontiamo le perdite medie giornaliere dovute agli exploit DPRK prima e dopo il 1 luglio 2024, possiamo vedere che l'importo del valore rubato è diminuito significativamente. Come mostrato nel grafico sottostante, dopo il 1 luglio, l'importo rubato dalla Corea del Nord è diminuito di circa il 53,73%, mentre l'importo rubato da non-Coreani è aumentato di circa il 5%. Pertanto, oltre a deviare le risorse militari verso il conflitto in Ucraina, la Corea del Nord, che ha significativamente intensificato la cooperazione con la Russia negli ultimi anni, potrebbe anche aver cambiato le sue attività di crimine informatico.
La diminuzione dei fondi rubati dalla Corea del Nord dopo il 1 luglio 2024 è evidente, e il tempismo è altrettanto chiaro, ma è importante notare che questa diminuzione non è necessariamente correlata alla visita di Putin a Pyongyang. Inoltre, alcuni eventi che si verificano a dicembre potrebbero cambiare questo schema alla fine dell'anno, e gli aggressori spesso lanciano attacchi durante le festività.
Caso di studio: l'attacco della Corea del Nord a DMM Bitcoin.
Un esempio noto di attacco informatico associato alla Corea del Nord nel 2024 coinvolge la piattaforma di scambio criptovalute giapponese DMM Bitcoin, che è stata hackerata, portando a perdite di circa 4.502,9 Bitcoin, all'epoca del valore di 305 milioni di dollari. Gli aggressori hanno sfruttato una vulnerabilità nell'infrastruttura utilizzata da DMM, risultando in prelievi non autorizzati. In risposta, DMM ha lavorato con il supporto della società madre per ripagare completamente i depositi dei clienti cercando fondi equivalenti.
Siamo stati in grado di analizzare il flusso di fondi on-chain dopo l'attacco iniziale. Nella prima fase, abbiamo visto gli aggressori trasferire criptovalute del valore di milioni di dollari da DMM Bitcoin a diversi indirizzi intermedi, per poi arrivare infine ai server di mixing Bitcoin CoinJoin.
Dopo aver mescolato con successo i fondi rubati utilizzando i servizi di mixing Bitcoin CoinJoin, gli aggressori hanno trasferito parte dei fondi tramite alcuni servizi di bridging a Huioneguarantee, un mercato online associato al gruppo imprenditoriale cambogiano Huione Group, un importante attore nel settore che facilita la criminalità informatica.
DMM Bitcoin ha trasferito i suoi asset e i conti dei clienti alla sussidiaria SBI VC Trade del gruppo finanziario giapponese SBI, con il passaggio previsto per completarsi entro marzo 2025. Fortunatamente, stanno emergendo nuovi strumenti e tecnologie predittive che esploreremo nella sezione successiva per prepararci a prevenire il verificarsi di tali attacchi informatici distruttivi.
Utilizzare modelli predittivi per prevenire attacchi informatici.
Le tecnologie predittive avanzate stanno cambiando la cybersecurity, offrendo un approccio proattivo per proteggere l'ecosistema digitale attraverso il rilevamento in tempo reale di potenziali rischi e minacce. Diamo un'occhiata all'esempio sottostante, che coinvolge il fornitore di liquidità decentralizzato UwU Lend.
Il 10 giugno 2024, gli aggressori hanno ottenuto circa 20 milioni di dollari manipolando il sistema dell'oracolo dei prezzi di UwU Lend. Gli aggressori hanno avviato un attacco di prestito flash per alterare il prezzo di Ethena Staked USDe (sUSDe) su più oracoli, causando una valutazione errata. Pertanto, gli aggressori sono stati in grado di prendere in prestito milioni di dollari in sette minuti. Hexagate ha rilevato il contratto di attacco e la sua dispiegazione simile circa due giorni prima dell'exploit.
Sebbene il contratto di attacco sia stato rilevato in modo accurato in tempo reale due giorni prima dell'exploit, la sua connessione con il contratto vulnerabile non è emersa immediatamente a causa del suo design. Con l'aiuto di altri strumenti, come gli oracoli di sicurezza di Hexagate, è possibile sfruttare ulteriormente questa rilevazione precoce per mitigare la minaccia. È interessante notare che il primo attacco, che ha portato a perdite di 8,2 milioni di dollari, è avvenuto solo pochi minuti prima degli attacchi successivi, fornendo un altro segnale importante.
Allerta di questo tipo emessa prima di attacchi on-chain significativi ha il potenziale di cambiare la sicurezza degli attori del settore, permettendo loro di prevenire completamente attacchi informatici costosi, piuttosto che rispondere a essi.
Nel grafico sottostante, vediamo che gli aggressori hanno trasferito i fondi rubati attraverso due indirizzi intermedi prima che raggiungessero il mixer di contratti intelligenti Ethereum approvato dall'OFAC, Tornado Cash.
Tuttavia, è importante notare che semplicemente accedere a questi modelli predittivi non garantisce la prevenzione degli attacchi informatici, poiché i protocolli potrebbero non sempre disporre degli strumenti appropriati per agire efficacemente.
È necessaria una sicurezza crittografica più forte.
L'aumento delle criptovalute rubate nel 2024 evidenzia la necessità nel settore di affrontare una situazione di minaccia in continua evoluzione e sempre più complessa. Sebbene l'entità dei furti di criptovalute non sia ancora tornata ai livelli del 2021 e 2022, la rinascita sopra citata mette in luce le lacune nelle misure di sicurezza esistenti e l'importanza di adattarsi a nuovi metodi di sfruttamento. Per affrontare efficacemente queste sfide, è fondamentale la cooperazione tra il settore pubblico e privato. Programmi di condivisione dei dati, soluzioni di sicurezza in tempo reale, strumenti avanzati di tracciamento e formazione mirata possono consentire agli stakeholder di identificare e neutralizzare rapidamente gli attori malevoli, costruendo al contempo la resilienza necessaria per proteggere gli asset crittografici.
Inoltre, con l'evoluzione continua del quadro normativo delle criptovalute, l'attenzione sulla sicurezza delle piattaforme e sulla protezione degli asset dei clienti potrebbe intensificarsi. Le migliori pratiche del settore devono tenere il passo con questi cambiamenti, garantendo prevenzione e responsabilità. Collaborando con le forze dell'ordine e fornendo al team risorse e competenze per una risposta rapida, il settore delle criptovalute può migliorare la sua capacità di prevenire i furti. Questi sforzi sono fondamentali non solo per proteggere gli asset individuali, ma anche per costruire fiducia e stabilità a lungo termine nell'ecosistema digitale.