出典:Chainalysis;編纂:陶朱、金色财经
暗号通貨ハッキング攻撃は依然として持続的な脅威であり、過去 10 年間で 4 年間、価値が 10 億ドルを超える暗号通貨が盗まれています(2018 年、2021 年、2022 年、2023 年)。2024 年は、これらの不安なマイルストーンに達する第 5 年であり、暗号通貨の採用と価格の上昇に伴い、盗まれる金額も増加していることを浮き彫りにしています。
2024 年、盗まれた資金は前年比で約 21.07% 増加し、22 億ドルに達し、個々のハッカー事件の数は 2023 年の 282 件から 2024 年の 303 件に増加しました。
興味深いことに、暗号通貨ハッキング攻撃の強度は、今年の上半期に変化しました。我々の中間犯罪更新では、2024 年 1 月から 2024 年 7 月の間に盗まれた累積価値が 15.8 億ドルに達し、2023 年同期の盗まれた価値よりも約 84.4% 高いことに注目しました。以下のグラフで見るように、7 月末までにエコシステムは容易に軌道に乗り、この年は 2021 年と 2022 年の 30 億ドル以上のものと比肩できるものとなる可能性があります。しかし、2024 年の暗号通貨の盗難の上昇傾向は 7 月以降明らかに鈍化し、その後は比較的安定を保っています。この変化の潜在的な地政学的理由については後ほど考察します。
被害者プラットフォームのタイプによる盗まれた金額の内訳に関して、2024 年も興味深いパターンが見られました。2021 年から 2023 年のほとんどの四半期において、分散型金融(DeFi)プラットフォームは暗号通貨ハッカーの主要なターゲットとなっていました。DeFi プラットフォームは、開発者が迅速な成長を優先し、製品を市場に投入することを重視するため、攻撃を受けやすい傾向があります。これにより、ハッカーの主要なターゲットとなっています。
2024 年第 1 四半期には DeFi が依然として盗まれた資産の最大の割合を占めているものの、中央集権的サービスは第 2 四半期および第 3 四半期に最もターゲットとされています。一部の最も著名な中央集権的サービスのハッキング攻撃には、DMM Bitcoin(2024 年 5 月;3.05 億ドル)および WazirX(2024 年 7 月;2.349 億ドル)が含まれます。
DeFi から中央集権的サービスへの焦点の移行は、ハッカーがよく使用するセキュリティメカニズム(例えば、秘密鍵)の重要性が高まっていることを強調しています。2024 年には、盗まれた暗号通貨における秘密鍵の漏洩の割合が最も高く、43.8% に達します。中央集権的サービスにとって、秘密鍵の安全性を確保することが重要です。中央集権的取引所は大量のユーザー資金を管理しているため、秘密鍵の漏洩の影響は壊滅的なものになる可能性があります。3.05 億ドルの DMM Bitcoin ハッキング事件は、これまでで最大の暗号通貨の脆弱性の一つであり、秘密鍵の管理不備や十分なセキュリティの欠如によって引き起こされた可能性があります。
秘密鍵が漏洩した後、悪意のある行為者は通常、分散型取引所 (DEX)、マイニングサービス、またはミキシングサービスを通じて盗まれた資金を洗浄し、取引の軌跡を混乱させ、追跡を困難にします。2024 年までに、私たちは秘密鍵ハッカーの洗浄活動が他の攻撃メディアを利用したハッカーの洗浄活動と大きく異なることを確認できます。例えば、秘密鍵を盗まれた後、これらのハッカーはしばしばブリッジやミキシングサービスに移行します。他の攻撃メディアに関しては、分散型取引所が洗浄活動により一般的に利用されます。
2024 年、北朝鮮のハッカーが暗号プラットフォームから盗んだ金額は、これまでで最も多くなるでしょう
北朝鮮に関連するハッカーは、その複雑で冷酷な手段で悪名高く、先進的なマルウェア、ソーシャルエンジニアリング、暗号通貨の盗難を利用して、国家資金の活動を支援し、国際制裁を回避します。アメリカと国際官僚は、平壌が盗まれた暗号通貨を利用して大規模な殺傷兵器と弾道ミサイルプログラムに資金を提供していると評価しており、国際安全保障を脅かしています。2023 年までに、北朝鮮に関連するハッカーは 20 件の事件を通じて約 6.605 億ドルを盗みました。2024 年までに、これが 47 件の事件で 13.4 億ドルに増え、盗まれた価値は 102.88% 増加しました。これらの数字は、その年に盗まれた総額の 61% を占め、事件の総数の 20% を占めます。
注意すべきは、昨年の報告書で、北朝鮮が 20 回のハッキング攻撃を通じて 10 億ドルを盗んだとの情報を発表したことです。さらなる調査の結果、以前は北朝鮮に帰属していたいくつかの大規模なハッキング攻撃がもはや関連していない可能性があるため、金額は 6.605 億ドルに減少しました。ただし、事件の数は変わらず、北朝鮮に帰属する他の小規模なハッキング攻撃が発見されました。新しいブロックチェーンおよびオフチェーンの証拠を得ると、北朝鮮に関連するハッキング事件の評価を継続的に再評価することを目指しています。
残念ながら、北朝鮮の暗号通貨攻撃はますます頻繁になっているようです。下の図では、脆弱性のスケールに基づいて DPRK 攻撃の成功間の平均時間を調べ、さまざまなスケールの攻撃が前年比で減少していることがわかりました。特に、2024 年には 50 万ドルから 1 億ドルおよび 1 億ドル以上の攻撃が 2023 年に比べてはるかに高頻度で発生しており、北朝鮮が大規模な攻撃においてますます成功し、迅速に行動していることを示しています。これは、前の 2 年間とは対照的であり、これらの年では一回の利益が 5000 万ドルを下回ることがよくありました。
北朝鮮の活動を私たちが監視している他のすべてのハッカー活動と比較すると、北朝鮮が過去 3 年間にほとんどの大規模攻撃の責任を負っていることは明らかです。興味深いことに、北朝鮮のハッキング攻撃の額は低く、特に 10,000 ドル程度のハッキング攻撃の密度も増加し続けています。
これらの事件のいくつかは、北朝鮮の IT 従事者に関連しているようで、彼らはますます暗号通貨と Web3 企業に浸透し、彼らのネットワーク、運営、整合性を損なっています。これらの従業員は、偽の身分、第三者の採用仲介者を雇用すること、リモートワークの機会を操作するなど、複雑な戦略、技術、およびプロセス (TTP) を使用してアクセスを取得します。最近のあるケースでは、アメリカ合衆国司法省 (DOJ) が水曜日にアメリカでリモート IT 従事者として働く北朝鮮国民 14 名を起訴しました。これらの企業は、独占情報を盗み、雇用主を脅迫することで 8,800 万ドル以上を稼いでいます。
これらのリスクを軽減するために、企業は徹底的な雇用デューデリジェンスを優先すべきです——背景調査と身元確認を含め、同時に重要な資産を保護するために強力な秘密鍵の安全性を維持すること(該当する場合)。
これらすべての傾向は、北朝鮮が今年非常に活発であることを示唆していますが、ほとんどの攻撃は年初に発生し、全体のハッカー活動は第三四半期と第四四半期に停滞しました。これは先のグラフに示されている通りです。
2024 年 6 月下旬、ロシアのウラジーミル・プーチン大統領と北朝鮮の指導者金正恩も平壌でサミットを開催し、共同防衛協定に署名する予定です。今年の時点で、ロシアは国連安全保障理事会の制裁に基づいて、以前に凍結されていた北朝鮮資産の数百万ドルを解放し、両国の同盟の進展を示しています。同時に、北朝鮮はウクライナに軍隊を派遣し、ロシアに弾道ミサイルを提供し、モスクワに先進的な宇宙、ミサイル、および潜水艦技術を求めていると報じられています。
2024 年 7 月 1 日以前と以降の DPRK 脆弱性の日平均損失を比較すると、盗まれた価値の額が顕著に減少していることがわかります。具体的には、下の図に示すように、北朝鮮が盗んだ金額は約 53.73% 減少し、非北朝鮮による盗難額は約 5% 増加しました。したがって、ウクライナの紛争に軍事資源をシフトすることに加えて、近年ロシアとの協力を大幅に強化している北朝鮮もそのサイバー犯罪活動を変えた可能性があります。
2024 年 7 月 1 日以降の北朝鮮による資金の盗難の減少は明らかで、タイミングも明確ですが、この減少がプーチンの平壌訪問と必ずしも関連しているわけではないことに注意が必要です。さらに、12 月に発生するいくつかの事件は年末にこのパターンを変える可能性があり、攻撃者は休暇中に攻撃を仕掛けることがよくあります。
ケーススタディ:北朝鮮による DMM Bitcoin への攻撃
2024 年に北朝鮮に関連するハッキング攻撃の著名な例は、日本の暗号通貨取引所 DMM Bitcoin に対するもので、この取引所はハッキングを受け、約 4,502.9 ビットコインが失われました。当時の価値は 3.05 億ドルです。攻撃者は DMM が使用しているインフラストラクチャの脆弱性を利用し、無許可の引き出しを引き起こしました。これに対し、DMM はグループ会社の支援を受け、同等の資金を探すことで顧客の預金を全額支払いました。
私たちは、初期攻撃後のブロックチェーン上の資金の流れを分析することができました。第一段階では、攻撃者が DMM Bitcoin から数百万ドル相当の暗号通貨をいくつかの中間アドレスに移動し、最終的に Bitcoin CoinJoin ミキシングサーバーに到達するのを確認しました。
ビットコイン CoinJoin ミキシングサービスを使用して盗まれた資金を正常に混合した後、攻撃者はいくつかのブリッジサービスを通じて資金の一部を Huioneguarantee に移動しました。これは、カンボジアの企業グループ Huione Group に関連するオンラインマーケットであり、Huione Group はこの分野の重要なプレーヤーで、サイバー犯罪を助長しています。
DMM Bitcoin はその資産と顧客口座を日本金融グループ SBI グループの子会社 SBI VC Trade に移管しました。移行は 2025 年 3 月に完了する予定です。幸運なことに、新興のツールと予測技術が登場しており、これらは次のセクションで議論しますが、同様の破壊的なハッキング攻撃を防ぐ準備を整えています。
予測モデルを利用してハッキング攻撃を防止する
先進的な予測技術は、潜在的なリスクと脅威をリアルタイムで検出することでサイバーセキュリティを変え、デジタルエコシステムを保護するための積極的なアプローチを提供しています。以下の例を見てみましょう。これは、分散型流動性プロバイダー UwU Lend に関するものです。
2024 年 6 月 10 日、攻撃者は UwU Lend の価格オラクルシステムを操作し、約 2000 万ドルの資金を取得しました。攻撃者はフラッシュローン攻撃を仕掛け、複数のオラクルで Ethena Staked USDe (sUSDe) の価格を変更し、評価が不正確になるようにしました。このため、攻撃者は 7 分以内に数百万ドルを借りることができました。Hexagate は脆弱性を悪用する約 2 日前に攻撃契約とその類似のデプロイを検出しました。
攻撃契約が脆弱性を悪用する 2 日前に正確にリアルタイムで検出されたにもかかわらず、その設計上の理由から、利用された契約との接続は即座には明らかになりませんでした。Hexagate のセキュリティオラクルなどの他のツールを利用することで、この早期検出をさらに活用して脅威を軽減できます。820 万ドルの損失をもたらした最初の攻撃は、後続の攻撃の数分前に発生したことは注目に値します。これは、もう一つの重要な信号を提供します。
重大なブロックチェーン攻撃の前に出されたこのような警告は、業界の参加者のセキュリティを変える可能性があり、高額なハッキング攻撃を完全に防ぐことを可能にし、対応するのではなく事前に防ぐことができます。
下の図では、攻撃者が資金を OFAC 承認のイーサリアムスマートコントラクトミキサー Tornado Cash に到達する前に、2 つの中間アドレスを通じて盗まれた資金を移動させたことがわかります。
しかし、これらの予測モデルに単にアクセスすることはハッキング攻撃を防ぐことを保証するものではなく、プロトコルは必ずしも効果的に行動するための適切なツールを持っていない可能性があります。
より強力な暗号セキュリティが必要です
2024 年の盗まれた暗号通貨の増加は、業界がますます複雑で不断に変化する脅威の状況に対処する必要があることを浮き彫りにしています。暗号通貨盗難のスケールは、2021 年と 2022 年のレベルには回復していませんが、上述の復活は既存のセキュリティ対策のギャップと新しい悪用方法に適応する重要性を強調しています。これらの課題に効果的に対処するためには、公共部門と民間部門の協力が不可欠です。データ共有プログラム、リアルタイムのセキュリティソリューション、先進的な追跡ツール、およびターゲットを絞ったトレーニングは、利害関係者が悪意のある行為者を迅速に特定し排除できるようにし、同時に暗号資産を保護するために必要なレジリエンスを構築することができます。
さらに、暗号通貨の規制枠組みが進化する中で、プラットフォームのセキュリティおよび顧客資産の保護に対する監査が強化される可能性があります。業界のベストプラクティスはこれらの変化に追いつく必要があり、予防と説明責任を確保する必要があります。法執行機関とのより強固なパートナーシップを構築し、チームに迅速な対応のリソースと専門知識を提供することで、暗号通貨業界はその防盗能力を強化できます。これらの取り組みは、個人資産を保護するためだけでなく、デジタルエコシステム内で長期的な信頼と安定を構築するためにも非常に重要です。