Avots: Chainalysis
Sastādījusi: Tao Zhu, zelta finanses
Kriptovalūtu hakeru uzbrukumi joprojām ir pastāvīga draudu avots, un pēdējo desmit gadu laikā četros gados tika nozagti vairāk nekā 1 miljards dolāru vērti kriptovalūtu (2018., 2021., 2022. un 2023. gadā). 2024. gads ir piektais gads, kad sasniegts šis satraucošais pagrieziena punkts, kas uzsver, ka, palielinoties kriptovalūtu pieņemšanai un cenu kāpumam, tiek palielināta arī nozagšanas iespējamā summa.
2024. gadā nozagto līdzekļu apjoms ir pieaudzis par aptuveni 21,07%, sasniedzot 2,2 miljardus dolāru, un individuālo hakeru incidentu skaits pieaudzis no 282 gadījumiem 2023. gadā līdz 303 gadījumiem 2024. gadā.
Interesanti, ka kriptovalūtu hakeru uzbrukumu intensitāte šī gada pirmajā pusē ir mainījusies. Mūsu pusgada noziegumu atjauninājumā mēs pamanījām, ka 2024. gada no 1. janvāra līdz 2024. gada 7. jūlijam nozagto kopējā vērtība sasniedza 1,58 miljardus dolāru, kas ir apmēram par 84,4% vairāk nekā 2023. gada attiecīgajā periodā. Kā redzam zemāk esošajā diagrammā, ekosistēma viegli varēja atgriezties normālā stāvoklī, un šis gads var konkurēt ar 2021. un 2022. gada vairāk nekā 3 miljardiem dolāru. Tomēr 2024. gada kriptovalūtu zādzību pieauguma tendence pēc jūlija ir acīmredzami palēninājusies un pēc tam palikusi relatīvi stabila. Vēlāk mēs izpētīsim šo izmaiņu potenciālos ģeopolitiskos iemeslus.
Runājot par nozagto summu, kas sadalīta pēc upuru platformu veidiem, 2024. gadā parādījās interesanta tendence. Lielākajā daļā ceturkšņu no 2021. līdz 2023. gadam decentralizēto finanšu (DeFi) platformas bija galvenais kriptovalūtu hakeru mērķis. DeFi platformas var būt vieglāk uzbrukt, jo to izstrādātāji parasti dod priekšroku ātrai izaugsmei un produktu virzīšanai tirgū, nevis drošības pasākumu īstenošanai, kas padara tās par galvenajiem hakeru mērķiem.
Neskatoties uz to, ka 2024. gada pirmajā ceturksnī DeFi joprojām veidoja lielāko daļu no nozagtajiem aktīviem, centralizētie pakalpojumi bija visvairāk mērķēti otrajā un trešajā ceturksnī. Daži no slavenākajiem centralizēto pakalpojumu hakeru uzbrukumiem ietver DMM Bitcoin (2024. gada maijs; 305 miljoni dolāru) un WazirX (2024. gada jūlijs; 234,9 miljoni dolāru).
Šīs uzmanības pāreja no DeFi uz centralizētām pakalpojuma sniegšanas struktūrām uzsver hakeru bieži izmantoto drošības mehānismu (piemēram, privātās atslēgas) arvien pieaugošo nozīmi. 2024. gadā privāto atslēgu noplūde ir vislielākā daļa nozagtā kriptovalūtu, sasniedzot 43,8%. Centralizētiem pakalpojumiem ir būtiski nodrošināt privāto atslēgu drošību, jo tās kontrolē piekļuvi lietotāju aktīviem. Ņemot vērā, ka centralizētās biržas pārvalda milzīgas lietotāju naudas summas, privāto atslēgu noplūdes ietekme var būt postoša; mums jāskatās uz DMM Bitcoin hakeru incidentu, kas ir līdz šim lielākais kriptovalūtu drošības pārkāpums, kas notika iespējams sakarā ar vāju privāto atslēgu pārvaldību vai nepietiekamu drošību.
Pēc privāto atslēgu noplūdes ļaunprātīgi dalībnieki parasti mazgā nozagtos līdzekļus, izmantojot decentralizētās apmaiņas (DEX), ieguves pakalpojumus vai maisīšanas pakalpojumus, tādējādi apmulsinot darījumu ceļus un apgrūtinot izsekošanu. Līdz 2024. gadam mēs redzēsim, ka privāto atslēgu hakeru naudas atmazgāšanas aktivitātes ir ļoti atšķirīgas no hakeriem, kuri izmanto citus uzbrukuma medijus. Piemēram, pēc privāto atslēgu nozagšanas šie hakeri bieži pāriet uz tiltiem un maisīšanas pakalpojumiem. Savukārt decentralizētās apmaiņas biežāk tiek izmantotas naudas atmazgāšanai citu uzbrukuma mediju gadījumā.
2024. gadā Ziemeļkorejas hakeri no kriptovalūtu platformām nozags vairāk naudas nekā jebkad agrāk
Ziemeļkorejai saistītie hakeri ir pazīstami ar savu sarežģīto un nežēlīgo pieeju, bieži izmantojot modernu ļaunprātīgu programmatūru, sociālo inženieriju un kriptovalūtu zādzības, lai finansētu valsts atbalstītās operācijas un apietu starptautiskās sankcijas. ASV un starptautiskie amatpersonas novērtē, ka Phenjana izmanto nozagtās kriptovalūtas, lai finansētu tās masu iznīcināšanas ieroču un ballistisko raķešu programmas, apdraudot starptautisko drošību. Līdz 2023. gadam Ziemeļkorejai saistītie hakeri nozags apmēram 660,5 miljonus dolāru 20 gadījumu ietvaros; līdz 2024. gadam šis skaitlis pieaugs līdz 1,34 miljardiem dolāru 47 gadījumos, nozagtā vērtība pieaugot par 102,88%. Šie skaitļi veido 61% no kopējās nozagtās summas tajā gadā un 20% no gadījumu kopskaita.
Lūdzu, ņemiet vērā, ka iepriekšējā gada ziņojumā mēs publicējām informāciju par to, ka Ziemeļkoreja nozaga 1 miljardu dolāru 20 hakeru uzbrukumos. Pēc turpmākas izpētes mēs noskaidrojām, ka dažas iepriekš Ziemeļkorejai piedēvētas lielas hakeru uzbrukumi, iespējams, vairs nav attiecināmas, tādējādi samazinot summu līdz 660,5 miljoniem dolāru. Tomēr gadījumu skaits palika nemainīgs, jo mēs atradām citas mazākas hakeru uzbrukumus, kas bija attiecināmas uz Ziemeļkoreju. Kad iegūsim jaunas pierādījumus gan uz blokķēdes, gan ārpus tās, mēs mērķējam uz pastāvīgu novērtējumu par hakeru notikumiem, kas saistīti ar Ziemeļkoreju.
Diemžēl Ziemeļkorejas kriptovalūtu uzbrukumi šķiet arvien biežāki. Zemāk redzamajā diagrammā mēs analizējam vidējo laiku starp veiksmīgajiem DPK uzbrukumiem, ņemot vērā ievainojamības mērogu, un atklājam, ka uzbrukumu frekvence visos mērogos ir samazinājusies salīdzinājumā ar iepriekšējo gadu. Ir vērts atzīmēt, ka 2024. gadā uzbrukumu, kuru vērtība ir no 50 līdz 100 miljoniem dolāru un vairāk par 100 miljoniem dolāru, biežums ir ievērojami augstāks nekā 2023. gadā, kas liecina par to, ka Ziemeļkoreja kļūst arvien labāka un ātrāka liela mēroga uzbrukumu veikšanā. Tas kontrastē ar iepriekšējiem diviem gadiem, kad to katra peļņa bieži bija zem 50 miljoniem dolāru.
Salīdzinot Ziemeļkorejas aktivitātes ar visām citām hakeru aktivitātēm, kuras mēs uzraugām, ir skaidrs, ka Ziemeļkoreja pēdējo triju gadu laikā ir bijusi atbildīga par lielāko daļu masveida uzbrukumu. Interesanti, ka Ziemeļkorejas hakeru uzbrukumu summa ir zemāka, it īpaši uzbrukumu blīvums, kas ir aptuveni 10 000 dolāru apmērā, arī pastāvīgi pieaug.
Daži no šiem gadījumiem šķiet saistīti ar Ziemeļkorejas IT speciālistiem, kuri arvien vairāk iekļūst kriptovalūtu un Web3 uzņēmumos, apdraudot to tīklu, darbību un integritāti. Šie darbinieki bieži izmanto sarežģītas stratēģijas, tehnikas un procedūras (TTP), piemēram, viltotas identitātes, trešo pušu rekrutēšanas aģentu nodarbināšanu un attālināta darba iespēju manipulēšanu, lai iegūtu piekļuvi. Nesena gadījumā ASV Tieslietu departaments (DOJ) trešdien apsūdzēja 14 Ziemeļkorejas pilsoņus, kuri ASV strādāja kā attālināti IT speciālisti. Uzņēmumi nozaga vairāk nekā 88 miljonus dolāru, zādzību rezultātā iegūstot īpašas informācijas un izspiežot darba devējus.
Lai mazinātu šos riskus, uzņēmumiem jāprioritizē rūpīga nodarbinātības izpēte — tostarp pārbaudes un identifikācijas — vienlaikus saglabājot spēcīgu privāto atslēgu drošību, lai aizsargātu svarīgus aktīvus (ja tas ir piemērojams).
Neskatoties uz visām šīm tendencēm, kas liecina par Ziemeļkorejas lielo aktivitāti šogad, lielākā daļa uzbrukumu notika gada sākumā, un kopējā hakeru aktivitāte trešajā un ceturtajā ceturksnī ir apstājusies, kā tas redzams iepriekšējā diagrammā.
2024. gada jūnija beigās Krievijas prezidents Vladimirs Putins un Ziemeļkorejas līderis Kims Čenuns arī tiksies Phenjanā, lai parakstītu kopīgas aizsardzības līgumu. Šogad līdz šim Krievija ir atbrīvojusi iepriekš iesaldētos Ziemeļkorejas aktīvus vairākos miljonos dolāru, kas ir pazīme par abu valstu alianses pastāvīgu attīstību. Tajā pašā laikā Ziemeļkoreja ir nosūtījusi karaspēku uz Ukrainu un sniegusi Krievijai ballistiskās raķetes, ziņojot arī par pieprasījumu pēc modernām kosmosa, raķešu un zemūdeņu tehnoloģijām no Maskavas.
Salīdzinot 2024. gada 1. jūlija pirms un pēc DPK noplūdes dienas vidējo zaudējumu, mēs redzam, ka nozagto vērtību summa ievērojami samazinājusies. Konkrēti, kā redzams tālāk, pēc tam Ziemeļkorejas nozagto summu samazinājās par aptuveni 53,73%, bet ne-Ziemeļkorejas nozagto summa palielinājās par aptuveni 5%. Tādējādi, papildus militāro resursu novirzīšanai uz Ukrainas konfliktu, Ziemeļkoreja, kas pēdējos gados ir būtiski pastiprinājusi sadarbību ar Krieviju, varētu arī mainīt savu tīkla noziegumu aktivitāti.
Pēc 2024. gada 1. jūlija Ziemeļkorejas nozagto līdzekļu samazināšanās ir acīmredzama, un laiks ir skaidrs, taču ir vērts atzīmēt, ka šī samazināšanās ne vienmēr ir saistīta ar Putina vizīti Phenjanā. Turklāt dažas notikumu 12. decembrī var mainīt šo modeli gada beigās, un uzbrucēji bieži īsteno uzbrukumus brīvdienu laikā.
Gadījumu izpēte: Ziemeļkorejas uzbrukums DMM Bitcoin
2024. gada Ziemeļkorejai saistītais hakeru uzbrukums ir pazīstams piemērs, kas saistīts ar Japānas kriptovalūtu biržu DMM Bitcoin, kas tika uzbrukta, kā rezultātā tika zaudēti aptuveni 4 502,9 bitcoini, kad tie bija vērti 305 miljonus dolāru. Uzbrucēji izmantoja ievainojamību DMM izmantotajā infrastruktūrā, kas noveda pie neautorizētām izņemšanām. DMM, atbalstot grupas uzņēmumu, pilnībā kompensēja klientu noguldījumus, meklējot ekvivalentus līdzekļus.
Mēs spējam analizēt naudas plūsmu pēc sākotnējā uzbrukuma, pirmajā posmā mēs redzam, ka uzbrucēji pārnes kriptovalūtu vērti miljonos dolāru no DMM Bitcoin uz vairākiem starpniekadresiem, kas galu galā reaches Bitcoin CoinJoin maisīšanas serverus.
Pēc tam, kad tika veiksmīgi sajaukti nozagtie līdzekļi, uzbrucēji pārskaitīja daļu naudas uz Huioneguarantee, kas ir saistīts ar Kambodžas uzņēmumu grupu Huione Group, kas ir nozīmīgs dalībnieks tīkla noziegumu atvieglošanā.
DMM Bitcoin ir pārcēlis savus aktīvus un klientu kontus uz Japānas finanšu grupas SBI grupas meitasuzņēmumu SBI VC Trade, pāreja plānota līdz 2025. gada martam. Par laimi, jauni rīki un prognožu tehnoloģijas ir pieaugušas, un mēs tās izpētīsim nākamajā sadaļā, lai sagatavotos šādu kaitīgu hakeru uzbrukumu novēršanai.
Prognožu modeļu izmantošana, lai novērstu hakeru uzbrukumus
Modernās prognožu tehnoloģijas, kas reālā laikā nosaka potenciālos riskus un draudus, maina kiberdrošību, piedāvājot proaktīvu pieeju digitālā ekosistēmas aizsardzībai. Apskatīsim zemāk esošo piemēru, kas saistīts ar decentralizēto likviditātes sniedzēju UwU Lend.
2024. gada 10. jūnijā uzbrucēji, manipulējot ar UwU Lend cenu prognozēšanas sistēmu, ieguva apmēram 20 miljonus dolāru. Uzbrucēji īstenoja zibens aizdevumu uzbrukumu, lai mainītu Ethena Staked USDe (sUSDe) cenu uz vairākiem prognozētājiem, izraisot nepareizu novērtējumu. Tādējādi uzbrucēji varēja aizņemties vairākus miljonus dolāru septiņu minūšu laikā. Hexagate apmēram divas dienas pirms ievainojamības izmantošanas atklāja uzbrukuma līgumu un tā līdzīgās izstrādes.
Neskatoties uz to, ka uzbrukuma līgums tika precīzi konstatēts divas dienas pirms ievainojamības izmantošanas, saistībā ar tā dizaina iemesliem tā saikne ar izmantoto līgumu nekavējoties neparādījās. Izmantojot Hexagate drošības prognozētāju un citus rīkus, šādu agrīnu konstatēšanu varētu vēl vairāk izmantot, lai mazinātu draudus. Jāatzīmē, ka pirmais uzbrukums, kas izraisīja 8,2 miljonu dolāru zaudējumus, notika dažas minūtes pirms turpmākajiem uzbrukumiem, tādējādi sniedzot vēl vienu svarīgu signālu.
Šādi brīdinājumi, kas izsniegti pirms nozīmīgām uzbrukumiem uz blokķēdes, var mainīt nozares dalībnieku drošību, ļaujot viņiem pilnībā novērst dārgus hakeru uzbrukumus, nevis reaģēt uz tiem.
Zemāk redzamajā diagrammā mēs redzam, ka uzbrucēji pirms nozagtās naudas nosūtīšanas uz OFAC apstiprināto Ethereum viedā līguma maisītāju Tornado Cash to pārskaitīja caur diviem starpnieku adresēm.
Tomēr ir vērts uzsvērt, ka vienkārša piekļuve šiem prognožu modeļiem nenodrošina uzbrukumu novēršanu, jo protokoli ne vienmēr var būt aprīkoti ar piemērotiem rīkiem efektīvai rīcībai.
Nepieciešama spēcīgāka šifrēšanas drošība
2024. gada nozagto kriptovalūtu pieaugums uzsver nozares vajadzību reaģēt uz arvien sarežģītākiem un mainīgākiem draudiem. Lai gan kriptovalūtu zādzību apjoms vēl nav atguvies līdz 2021. un 2022. gada līmenim, iepriekš minētā atdzimšana uzsver esošo drošības pasākumu nepilnības un nepieciešamību pielāgoties jaunām izmantošanas metodēm. Lai efektīvi risinātu šos izaicinājumus, sabiedrisko un privāto sektoru sadarbība ir izšķiroša. Datu apmaiņas programmas, reāllaika drošības risinājumi, moderni izsekošanas rīki un mērķtiecīga apmācība var ļaut ieinteresētajām pusēm ātri identificēt un iznīcināt ļaunprātīgus dalībniekus, vienlaikus veidojot elastību, kas nepieciešama kriptovalūtu aktīvu aizsardzībai.
Turklāt, attīstoties kriptovalūtu regulējošajai struktūrai, pārbaude platformas drošībai un klientu aktīvu aizsardzībai var kļūt stingrāka. Nozares labākajām praksēm jāseko šīm izmaiņām, lai nodrošinātu novēršanu un atbildību. Sadarbībā ar tiesībaizsardzības iestādēm un nodrošinot ātras reaģēšanas resursus un ekspertīzi, kriptovalūtu nozare var stiprināt savu aizsardzību pret zādzībām. Šie centieni ir būtiski ne tikai personīgo aktīvu aizsardzībai, bet arī ilgstošas uzticības un stabilitātes veidošanai digitālajā ekosistēmā.