出典:Chainalysis;編集:陶朱、金色财经

暗号通貨ハッカー攻撃は依然として継続的な脅威であり、過去10年間の4年間で、10億ドルを超える暗号通貨が盗まれました(2018年、2021年、2022年、2023年)。2024年はこの不安なマイルストーンに到達する5年目であり、暗号通貨の採用と価格の上昇に伴い、盗まれる金額も増加しています。

2024年、盗まれた資金は前年比約21.07%増加し、22億ドルに達し、個々のハッカー事件の数は2023年の282件から2024年の303件に増加しました。

興味深いことに、暗号通貨ハッカー攻撃の強度は、今年の上半期において変化が見られました。我々の年中犯罪更新では、2024年1月から2024年7月の間に盗まれた累積価値が15.8億ドルに達し、2023年の同時期の盗まれた価値より約84.4%増加したことに注目しました。下のグラフに示すように、7月末までにエコシステムは簡単に軌道に乗り、この年は2021年および2022年の30億ドル以上に匹敵することができる可能性があります。しかし、2024年の暗号通貨盗難の上昇傾向は7月以降明らかに鈍化し、その後は比較的安定しています。この変化の潜在的な地政学的理由については後ほど探ります。

被害者プラットフォームのタイプごとに盗まれた金額を分類すると、2024年にも興味深いパターンが見られました。2021年から2023年のほとんどの四半期において、分散型金融(DeFi)プラットフォームは暗号通貨ハッカーの主要なターゲットです。DeFiプラットフォームは、開発者が迅速な成長を優先し製品を市場に投入する傾向があるため、攻撃に対して脆弱であり、ハッカーの主要なターゲットとなっています。

2024年第1四半期のDeFiは依然として盗まれた資産の最大のシェアを占めていますが、中央集権的サービスは第2四半期と第3四半期で最も標的にされています。最も著名な中央集権的サービスのハッカー攻撃には、DMM Bitcoin(2024年5月;3.05億ドル)およびWazirX(2024年7月;2.349億ドル)があります。

DeFiから中央集権的サービスへのこの焦点の移行は、ハッカーが使用するセキュリティメカニズム(例えば私鍵)の重要性の増加を浮き彫りにしています。2024年、私鍵の漏洩が盗まれた暗号通貨の中で最大の割合を占め、43.8%に達しました。中央集権的サービスにとって、私鍵の安全を確保することは非常に重要です。なぜなら、それらはユーザー資産へのアクセスを制御しているからです。中央集権的取引所が大量のユーザー資金を管理していることを考えると、私鍵の漏洩の影響は壊滅的であり、3.05億ドルのDMM Bitcoinハッキング事件のように、これは私鍵の管理不備や十分なセキュリティの欠如によって発生した可能性があります。

私鍵が漏洩した後、悪意のある行為者は通常、分散型取引所 (DEX)、マイニングサービス、または混合サービスを通じて盗まれた資金を洗浄し、取引の痕跡を混乱させ、追跡を複雑にします。2024年までに、私鍵ハッカーのマネーロンダリング活動は、他の攻撃媒体を利用するハッカーのマネーロンダリング活動とは大きく異なることが見られます。たとえば、私鍵を盗んだ後、これらのハッカーはしばしばブリッジおよび混合サービスに移行します。他の攻撃媒体では、分散型取引所がマネーロンダリング活動により一般的に使用されます。

2024年、北朝鮮のハッカーは暗号プラットフォームから以前よりも多くを盗みました。

北朝鮮に関連するハッカーは、その複雑で無情な手法で悪名高く、彼らはしばしば高度なマルウェア、ソーシャルエンジニアリング、暗号通貨の盗難を利用して国家資金の活動を支援し、国際制裁を回避しています。米国および国際的な官僚は、平壌が盗まれた暗号通貨をその大量破壊兵器および弾道ミサイル計画に資金提供していると評価しており、国際的な安全に脅威をもたらしています。2023年までに、北朝鮮に関連するハッカーは20件の事件を通じて約6.605億ドルを盗み、2024年には47件の事件で13.4億ドルに増加し、盗まれた価値は102.88%増加しました。これらの数字は、その年に盗まれた総額の61%を占め、事件総数の20%を占めています。

昨年の報告書で、北朝鮮が20回のハッキングで10億ドルを盗んだという情報を公開しました。さらなる調査の結果、以前北朝鮮に帰属していた特定の大規模ハッキングはもはや関連性がない可能性があるため、金額は6.605億ドルに減少しました。しかし、事件数は変わらず、北朝鮮に帰属する他の小規模なハッキングが見つかったためです。我々は、新しいオンチェーンおよびオフチェーンの証拠を取得した際には、北朝鮮に関連するハッカー事件に対する評価を継続的に再評価することを目指しています。

残念ながら、北朝鮮の暗号通貨攻撃はますます頻繁になっているようです。下の図では、DPRK攻撃成功の間隔を脆弱性の規模に基づいて評価し、さまざまな規模の攻撃が前年同月比で減少したことを確認しました。特に、2024年の価値5000万ドルから1億ドルおよび1億ドル以上の攻撃の発生頻度は2023年よりもはるかに高く、北朝鮮が大規模攻撃を迅速に実施する能力が向上していることを示しています。これは、前の2年間と対照的であり、前の2年間では毎回の利益が5000万ドル未満であることが多かったのです。

北朝鮮の活動を我々が監視している他のすべてのハッカー活動と比較すると、北朝鮮が過去3年間にわたって大規模な攻撃のほとんどに責任があることは明らかです。興味深いことに、北朝鮮のハッカー攻撃の金額は低く、特に1万ドル程度のハッカー攻撃の頻度は増加しています。

これらの事件のいくつかは、北朝鮮のIT専門家に関連しているようで、彼らは暗号通貨やWeb3企業にますます浸透し、彼らのネットワーク、運営、完全性を損なっています。これらの従業員は、しばしば偽のアイデンティティ、第三者の採用仲介者の雇用、リモートワークの機会の操作などの複雑な戦略や技術、手続き(TTP)を使用してアクセス権を取得します。最近のケースでは、米国司法省(DOJ)は水曜日に、米国でリモートIT専門家として働く14名の北朝鮮国民を起訴しました。企業は、盗まれた専有情報と雇用主への脅迫によって8800万ドル以上を獲得しました。

これらのリスクを軽減するために、企業は徹底的な雇用デューデリジェンスを優先すべきであり、背景調査や身元確認を含め、重要な資産を保護するために強力な私鍵のセキュリティを維持する必要があります(該当する場合)。

これらのすべての傾向は、北朝鮮が今年非常に活発であることを示していますが、その攻撃の大部分は年初に発生しており、全体のハッカー活動は第3四半期と第4四半期に停滞していることが、前述のグラフに示されています。

2024年6月下旬、ロシアのウラジーミル・プーチン大統領と北朝鮮の指導者金正恩が平壌で首脳会談を開き、共同防衛協定に署名する予定です。今年これまでのところ、ロシアは国連安全保障理事会の制裁に基づき、以前に凍結されていた数百万ドルの北朝鮮資産を解放しており、これは二国間の同盟の進展を示すものです。同時に、北朝鮮はウクライナに軍隊を派遣し、ロシアに弾道ミサイルを提供し、モスクワに先進的な宇宙、ミサイル、潜水艦技術を求めていると報じられています。

2024年7月1日以前と以降のDPRK脆弱性の1日あたりの損失を比較すると、盗まれた価値の金額が顕著に減少していることがわかります。具体的には、以下の図に示すように、以降に北朝鮮が盗んだ金額は約53.73%減少し、非北朝鮮が盗んだ金額は約5%増加しています。したがって、ウクライナ紛争に軍事資源を振り向けるだけでなく、近年ロシアとの協力を大幅に強化している北朝鮮は、そのネット犯罪活動をも変える可能性があります。

2024年7月1日以降、北朝鮮による資金の盗難の減少は明らかであり、そのタイミングも明確です。しかし、この減少がプーチンの平壌訪問に関連しているわけではないことに注意が必要です。さらに、12月に発生するいくつかの事件は年末にこのパターンを変える可能性があり、攻撃者はしばしばホリデーシーズンに攻撃を仕掛けます。

ケーススタディ:北朝鮮によるDMM Bitcoinへの攻撃

2024年に北朝鮮に関連するハッカー攻撃の著名な例は、日本の暗号通貨取引所DMM Bitcoinに関連しており、同社はハッキングを受け、約4,502.9ビットコイン(当時の価値で3.05億ドル)を失いました。攻撃者はDMMが使用するインフラの脆弱性を悪用し、不正な引き出しを引き起こしました。これに対し、DMMはグループ会社の支援を受けて等価の資金を探すことで顧客の預金を全額支払うことを決定しました。

我々は初期の攻撃後のチェーン上の資金の流れを分析することができました。第一段階では、攻撃者が数百万ドル相当の暗号通貨をDMM Bitcoinから複数の中間アドレスに移転した後、最終的にBitcoin CoinJoin混合サーバーに到達するのを確認しました。

ビットコインCoinJoin混合サービスを使用して盗まれた資金を成功裏に混合した後、攻撃者は一部の資金をHuioneguaranteeというカンボジアの企業グループHuione Groupに関連するオンラインマーケットに移転しました。Huione Groupは、この分野の主要な関係者であり、ネット犯罪を助長しています。

DMM Bitcoinは、その資産と顧客アカウントを日本の金融グループSBIグループの子会社SBI VC Tradeに移管しました。移行は2025年3月に完了する予定です。幸運なことに、新たなツールと予測技術が登場しており、次のセクションで探る予定のもので、こうした破壊的なハッキング攻撃を防ぐ準備を整えています。

予測モデルを利用してハッカー攻撃を防ぐ

高度な予測技術は、潜在的なリスクや脅威をリアルタイムで検出することによってサイバーセキュリティを変革し、デジタルエコシステムを保護するための積極的なアプローチを提供しています。以下の例では、分散型流動性提供者UwU Lendに関連しています。

2024年6月10日、攻撃者はUwU Lendの価格予測システムを操作することにより、約2000万ドルの資金を取得しました。攻撃者はフラッシュローン攻撃を開始し、複数の予測機でEthena Staked USDe (sUSDe)の価格を変更し、評価を不正確にしました。そのため、攻撃者はわずか7分で数百万ドルを借りることができました。Hexagateは、脆弱性を利用する約2日前に攻撃契約およびその類似のデプロイを検出しました。

攻撃契約は脆弱性を利用する2日前に正確にリアルタイムで検出されましたが、その設計上の理由から、被利用契約との関連は直ちに明らかにはなりませんでした。Hexagateのセキュリティ予測などの他のツールを利用することで、この早期検出をさらに活用して脅威を軽減することができます。820万ドルの損失をもたらした最初の攻撃は、後続の攻撃の数分前に発生したため、重要なシグナルを提供しました。

重大なチェーン上の攻撃の前に発せられたこのような警告は、業界の参加者のセキュリティを変える可能性があり、彼らが費用のかかるハッカー攻撃を完全に防止することを可能にし、応答するのではなく予防することができます。

下の図では、攻撃者が資金をOFAC承認のイーサリアムスマートコントラクト混合器Tornado Cashに到達させる前に、2つの中間アドレスを介して盗まれた資金を移転したことが示されています。

ただし、これらの予測モデルにアクセスするだけではハッカー攻撃を防ぐことはできないことに注意が必要です。なぜなら、プロトコルは必ずしも適切な行動を取るための有効なツールを常に持っているわけではないからです。

より強力な暗号セキュリティが必要です

2024年に盗まれた暗号通貨の増加は、この業界がますます複雑で変化する脅威の状況に対処する必要があることを強調しています。暗号通貨盗難の規模は2021年と2022年の水準には戻っていないものの、上述の復活は既存のセキュリティ対策のギャップと新しい脆弱性への適応の重要性を浮き彫りにしています。これらの課題に効果的に対処するためには、公共部門と民間部門の協力が不可欠です。データ共有プログラム、リアルタイムセキュリティソリューション、高度な追跡ツール、ターゲットを絞ったトレーニングにより、利害関係者は悪意のある行為者を迅速に特定し排除し、暗号資産を保護するために必要なレジリエンスを構築できます。

さらに、暗号通貨の規制フレームワークが進化するにつれて、プラットフォームのセキュリティと顧客資産の保護に対する監視が強化される可能性があります。業界のベストプラクティスは、これらの変化に追いつく必要があり、予防と説明責任を確保する必要があります。法執行機関との強固なパートナーシップを築き、チームに迅速な対応のリソースと専門知識を提供することで、暗号通貨業界は盗難防止能力を強化できます。これらの取り組みは、個々の資産を保護するために重要であるだけでなく、デジタルエコシステムにおける長期的な信頼と安定を構築するためにも重要です。