Fonte: Chainalysis; Compilado por Tao Zhu, Jinse Finance

Os ataques hackers de criptomoedas continuam a ser uma ameaça persistente, com quatro anos nos últimos dez em que mais de 1 bilhão de dólares em criptomoedas foram roubados (2018, 2021, 2022 e 2023). 2024 é o quinto ano alcançando esse marco alarmante, ressaltando que com a adoção e o aumento dos preços das criptomoedas, o montante passível de roubo também está aumentando.

Em 2024, os fundos roubados aumentaram cerca de 21,07% em relação ao ano anterior, totalizando 2,2 bilhões de dólares, com o número de incidentes de hackers individuais aumentando de 282 em 2023 para 303 em 2024.

Curiosamente, a intensidade dos ataques hackers de criptomoedas mudou ao longo do primeiro semestre deste ano. Em nossa atualização de crimes de meio de ano, notamos que o valor acumulado roubado entre janeiro de 2024 e julho de 2024 chegou a 1,58 bilhões de dólares, cerca de 84,4% a mais do que o valor roubado no mesmo período em 2023. Como vemos no gráfico abaixo, até o final de julho, o ecossistema estava em vias de se estabilizar, com este ano podendo ser comparado aos mais de 3 bilhões de dólares de 2021 e 2022. No entanto, a tendência de aumento dos roubos de criptomoedas em 2024 desacelerou significativamente após julho, mantendo-se relativamente estável. Mais tarde, exploraremos as possíveis razões geopolíticas para essa mudança.

Em termos de valor roubado dividido por tipo de plataforma vítima, 2024 também apresenta padrões interessantes. Na maioria dos trimestres de 2021 a 2023, plataformas de finanças descentralizadas (DeFi) foram o principal alvo dos hackers de criptomoedas. As plataformas DeFi podem ser mais vulneráveis a ataques porque seus desenvolvedores tendem a priorizar o crescimento rápido e a colocação de produtos no mercado em vez de implementar medidas de segurança, tornando-as alvos principais para os hackers.

Embora o DeFi ainda represente a maior parte dos ativos roubados no primeiro trimestre de 2024, os serviços centralizados foram os mais visados no segundo e terceiro trimestres. Alguns dos ataques hackers a serviços centralizados mais notáveis incluem DMM Bitcoin (maio de 2024; 305 milhões de dólares) e WazirX (julho de 2024; 234,9 milhões de dólares).

Essa mudança de foco dos serviços DeFi para serviços centralizados ressalta a crescente importância dos mecanismos de segurança frequentemente utilizados pelos hackers (como as chaves privadas). Em 2024, as violações de chave privada representaram a maior proporção das criptomoedas roubadas, atingindo 43,8%. Para os serviços centralizados, garantir a segurança das chaves privadas é crucial, pois elas controlam o acesso aos ativos dos usuários. Dado que as exchanges centralizadas gerenciam grandes quantidades de fundos de usuários, o impacto de uma violação de chave privada pode ser devastador; basta olhar para o ataque à DMM Bitcoin no valor de 305 milhões de dólares, que é uma das maiores falhas de criptomoedas até agora, que pode ter ocorrido devido a uma má gestão das chaves privadas ou falta de segurança adequada.

Após a divulgação da chave privada, os agentes maliciosos geralmente lavam os fundos roubados através de exchanges descentralizadas (DEX), serviços de mineração ou serviços de mistura para confundir a trilha de transações e dificultar o rastreamento. Até 2024, podemos observar que as atividades de lavagem de dinheiro dos hackers de chaves privadas diferem significativamente das atividades de lavagem de dinheiro dos hackers que utilizam outros meios de ataque. Por exemplo, após roubar uma chave privada, esses hackers frequentemente recorrem a serviços de ponte e mistura. Para outros meios de ataque, as exchanges descentralizadas são mais comumente usadas para atividades de lavagem de dinheiro.

Em 2024, os hackers da Coreia do Norte roubaram mais do que em qualquer outro momento.

Hackers associados à Coreia do Norte são conhecidos por seus métodos complexos e implacáveis, frequentemente utilizando malware avançado, engenharia social e roubo de criptomoedas para financiar ações patrocinadas pelo Estado e evitar sanções internacionais. Avaliações de autoridades dos EUA e internacionais indicam que Pyongyang utiliza criptomoedas roubadas para financiar seus programas de armas de destruição em massa e mísseis balísticos, representando uma ameaça à segurança internacional. Até 2023, hackers associados à Coreia do Norte roubaram cerca de 660,5 milhões de dólares em 20 incidentes; até 2024, esse número aumentou para 1,34 bilhões de dólares em 47 incidentes, com o valor roubado aumentando 102,88%. Esses números representaram 61% do total de valores roubados no ano e 20% do número total de incidentes.

Observe que em nosso relatório do ano passado, divulgamos que a Coreia do Norte havia roubado 1 bilhão de dólares em 20 ataques hackers. Após investigações adicionais, determinamos que alguns dos grandes ataques hackers anteriormente atribuídos à Coreia do Norte podem não ser mais relevantes, reduzindo o montante para 660,5 milhões de dólares. No entanto, o número de incidentes permaneceu o mesmo, pois identificamos outros ataques hackers menores atribuídos à Coreia do Norte. Quando obtivermos novas evidências on-chain e off-chain, nosso objetivo é continuamente reavaliar nossas avaliações sobre os incidentes de hackers relacionados à Coreia do Norte.

Infelizmente, os ataques de criptomoedas da Coreia do Norte parecem estar se tornando cada vez mais frequentes. No gráfico abaixo, examinamos o tempo médio entre os sucessos dos ataques DPRK em relação à escala da exploração, e descobrimos que ataques de várias escalas diminuíram ano a ano. É notável que em 2024, ataques no valor de 50 a 100 milhões de dólares e acima de 100 milhões de dólares ocorreram com muito mais frequência do que em 2023, indicando que a Coreia do Norte está se saindo cada vez melhor e mais rapidamente em ataques em larga escala. Isso contrasta fortemente com os dois anos anteriores, quando seus lucros por ataque costumavam ser inferiores a 50 milhões de dólares.

Ao comparar as atividades da Coreia do Norte com todas as outras atividades de hackers que monitoramos, fica claro que a Coreia do Norte tem sido responsável pela maioria dos ataques em larga escala nos últimos três anos. Curiosamente, os ataques hackers da Coreia do Norte têm um valor menor, especialmente, a densidade de ataques hackers em torno de 10.000 dólares também está aumentando constantemente.

Alguns desses eventos parecem estar relacionados a profissionais de TI da Coreia do Norte, que estão cada vez mais se infiltrando em empresas de criptomoedas e Web3, comprometendo suas redes, operações e integridade. Esses funcionários frequentemente utilizam estratégias, técnicas e procedimentos (TTP) complexos, como identidades falsas, contratação de intermediários de recrutamento terceirizados e manipulação de oportunidades de trabalho remoto para obter acesso. Em um caso recente, o Departamento de Justiça dos EUA processou 14 cidadãos norte-coreanos que atuavam como profissionais de TI remotos nos EUA. As empresas ganharam mais de 88 milhões de dólares ao roubar informações proprietárias e extorquir empregadores.

Para mitigar esses riscos, as empresas devem priorizar a devida diligência completa na contratação — incluindo verificações de antecedentes e validação de identidade — ao mesmo tempo em que mantêm uma forte segurança de chave privada para proteger ativos críticos (quando aplicável).

Embora todas essas tendências indiquem que a Coreia do Norte esteve muito ativa este ano, a maior parte dos ataques ocorreu no início do ano, com a atividade geral de hackers estagnando no terceiro e quarto trimestres, como mostrado nos gráficos anteriores.

No final de junho de 2024, o presidente russo Vladimir Putin e o líder norte-coreano Kim Jong-un também se reunirão em Pyongyang para assinar um acordo de defesa mútua. Até agora este ano, a Rússia liberou milhões de dólares em ativos norte-coreanos que estavam anteriormente congelados devido às sanções do Conselho de Segurança da ONU, sinalizando a evolução contínua da aliança entre os dois países. Ao mesmo tempo, a Coreia do Norte tem enviado tropas para a Ucrânia, fornecendo mísseis balísticos à Rússia e supostamente buscando tecnologia avançada em espaço, mísseis e submarinos de Moscou.

Se compararmos as perdas diárias médias de explorações DPRK antes e depois de 1 de julho de 2024, podemos ver que o valor roubado diminuiu significativamente. Como mostrado no gráfico abaixo, após a data, o montante roubado pela Coreia do Norte caiu cerca de 53,73%, enquanto o montante roubado por hackers não associados à Coreia do Norte aumentou cerca de 5%. Portanto, além de desviar recursos militares para o conflito na Ucrânia, a Coreia do Norte, que reforçou significativamente sua cooperação com a Rússia nos últimos anos, pode também ter mudado suas atividades de crimes cibernéticos.

A redução dos fundos roubados pela Coreia do Norte após 1 de julho de 2024 é evidente, e o momento é claro, mas é importante notar que essa redução não está necessariamente relacionada à visita de Putin a Pyongyang. Além disso, alguns eventos que ocorrem em dezembro podem mudar esse padrão até o final do ano, e os atacantes frequentemente lançam ataques durante o período de férias.

Estudo de caso: Ataque da Coreia do Norte à DMM Bitcoin

Um exemplo notável de um ataque hacker relacionado à Coreia do Norte em 2024 envolve a exchange japonesa de criptomoedas DMM Bitcoin, que foi hackeada, resultando em uma perda de aproximadamente 4.502,9 Bitcoins, valendo 305 milhões de dólares na época. Os atacantes exploraram vulnerabilidades na infraestrutura que a DMM utilizava, resultando em saques não autorizados. Em resposta, a DMM, com o apoio de sua empresa-mãe, procurou compensar os depósitos dos clientes integralmente, buscando fundos equivalentes.

Conseguimos analisar o fluxo de fundos on-chain após o ataque inicial; na primeira fase, vimos que os atacantes transferiram criptomoedas no valor de milhões de dólares da DMM Bitcoin para vários endereços intermediários, antes de finalmente chegarem aos servidores de mistura Bitcoin CoinJoin.

Após o sucesso na mistura de fundos roubados usando o serviço de mistura Bitcoin CoinJoin, os atacantes transferiram parte dos fundos para a Huioneguarantee através de alguns serviços de ponte, um mercado online associado ao grupo empresarial cambojano Huione Group, um importante participante no campo de facilitação de crimes cibernéticos.

A DMM Bitcoin transferiu seus ativos e contas de clientes para a subsidiária SBI VC Trade do grupo financeiro japonês SBI, com a transição prevista para ser concluída em março de 2025. Felizmente, novas ferramentas e tecnologias preditivas estão surgindo, e discutiremos na próxima seção como se preparar para evitar a ocorrência de tais ataques hackers destrutivos.

Utilizando modelos preditivos para impedir ataques hackers

Tecnologias preditivas avançadas estão transformando a segurança cibernética ao detectar proativamente riscos e ameaças em tempo real, oferecendo uma abordagem proativa para proteger ecossistemas digitais. Vamos dar uma olhada no exemplo abaixo, envolvendo o provedor de liquidez descentralizado UwU Lend.

Em 10 de junho de 2024, os atacantes manipularam o sistema de oráculos de preço da UwU Lend, obtendo cerca de 20 milhões de dólares. Os atacantes iniciaram um ataque de empréstimo relâmpago para alterar o preço do Ethena Staked USDe (sUSDe) em vários oráculos, resultando em uma avaliação incorreta. Assim, os atacantes puderam pegar emprestado milhões de dólares em sete minutos. A Hexagate detectou o contrato de ataque e seu implante semelhante cerca de dois dias antes da exploração.

Embora o contrato de ataque tenha sido detectado com precisão em tempo real dois dias antes da exploração, a conexão com o contrato que foi explorado não se tornou imediatamente aparente devido a razões de design. Com ferramentas adicionais como o oráculo de segurança da Hexagate, essa detecção precoce pode ser aproveitada para mitigar a ameaça. É importante notar que o primeiro ataque que resultou em uma perda de 8,2 milhões de dólares ocorreu minutos antes de ataques subsequentes, fornecendo outro sinal importante.

Alertas desse tipo emitidos antes de grandes ataques on-chain têm o potencial de mudar a segurança dos participantes da indústria, permitindo que eles evitem completamente ataques hackers dispendiosos, em vez de apenas responder a eles.

No gráfico abaixo, vemos que os atacantes transferiram os fundos roubados através de dois endereços intermediários antes de chegarem ao mixer de contratos inteligentes Ethereum aprovado pelo OFAC, Tornado Cash.

No entanto, é importante notar que apenas acessar esses modelos preditivos não garante a prevenção de ataques hackers, pois os protocolos podem não ter sempre as ferramentas adequadas para agir de forma eficaz.

Necessidade de segurança criptográfica mais forte

O aumento das criptomoedas roubadas em 2024 destaca a necessidade da indústria de lidar com a crescente complexidade e evolução das ameaças. Embora a escala dos roubos de criptomoedas ainda não tenha retornado aos níveis de 2021 e 2022, a recuperação mencionada ressalta as lacunas nas medidas de segurança existentes e a importância de se adaptar a novos métodos de exploração. Para lidar efetivamente com esses desafios, a colaboração entre o setor público e privado é crucial. Programas de compartilhamento de dados, soluções de segurança em tempo real, ferramentas de rastreamento avançadas e treinamentos direcionados podem capacitar as partes interessadas a identificar e eliminar rapidamente os agentes maliciosos, ao mesmo tempo em que estabelecem a resiliência necessária para proteger os ativos criptográficos.

Além disso, à medida que o quadro regulatório de criptomoedas continua a evoluir, o escrutínio sobre a segurança das plataformas e a proteção dos ativos dos clientes pode aumentar. As melhores práticas da indústria devem acompanhar essas mudanças, garantindo prevenção e responsabilidade. Ao estabelecer parcerias mais fortes com as autoridades de aplicação da lei e fornecer recursos e expertise para resposta rápida às equipes, a indústria de criptomoedas pode fortalecer suas capacidades de prevenção de roubos. Esses esforços são cruciais não apenas para proteger ativos individuais, mas também para estabelecer confiança e estabilidade de longo prazo no ecossistema digital.