Fonte: Chainalysis
Compilado por: Tao Zhu, Golden Finance
Os hacks de criptomoedas continuam a ser uma ameaça contínua, com mais de mil milhões de dólares em criptomoedas roubadas em quatro dos últimos dez anos (2018, 2021, 2022 e 2023). 2024 marca o quinto ano desde que atingiu este marco preocupante, destacando que à medida que a adoção das criptomoedas e os preços aumentam, também aumenta a quantidade que pode ser roubada.
Em 2024, os fundos roubados aumentaram aproximadamente 21,07% em relação ao ano anterior, para US$ 2,2 bilhões, e o número de incidentes de hackers individuais aumentou de 282 em 2023 para 303 em 2024.
Curiosamente, a intensidade dos hacks de criptomoedas mudou no primeiro semestre deste ano. Na nossa actualização sobre a criminalidade semestral, observámos que o valor acumulado roubado entre Janeiro e Julho de 2024 atingiu 1,58 mil milhões de dólares, aproximadamente 84,4 por cento superior ao valor roubado no mesmo período em 2023. Como podemos ver no gráfico abaixo, o ecossistema estará facilmente no caminho certo no final de julho, com o ano a rivalizar com os mais de 3 mil milhões de dólares de 2021 e 2022. No entanto, a tendência ascendente no roubo de criptomoedas em 2024 desacelerou significativamente depois de julho e permaneceu relativamente estável desde então. Mais tarde, exploraremos as potenciais razões geopolíticas para esta mudança.
Padrões interessantes também surgiram em 2024 em termos da quantidade roubada por tipo de plataforma de vítima. Na maior parte dos trimestres de 2021 a 2023, as plataformas financeiras descentralizadas (DeFi) foram o principal alvo dos hackers de criptomoedas. As plataformas DeFi podem ser mais vulneráveis a ataques porque os seus desenvolvedores tendem a priorizar o rápido crescimento e a introdução de produtos no mercado, em vez de implementar medidas de segurança, o que as torna alvos principais dos hackers.
Embora o DeFi ainda representasse a maior parcela dos ativos roubados no primeiro trimestre de 2024, os serviços centralizados foram os mais visados no segundo e terceiro trimestres. Alguns dos hacks de serviços centralizados mais notáveis incluem DMM Bitcoin (maio de 2024; US$ 305 milhões) e WazirX (julho de 2024; US$ 234,9 milhões).
Esta mudança de foco do DeFi para serviços centralizados destaca a importância crescente dos mecanismos de segurança comumente usados por hackers, como as chaves privadas. Em 2024, os comprometimentos de chaves privadas representaram a maior parcela das criptomoedas roubadas, com 43,8%. Para serviços centralizados, manter as chaves privadas seguras é crucial, pois elas controlam o acesso aos ativos dos usuários. Dadas as grandes quantidades de fundos de usuários gerenciados por bolsas centralizadas, o impacto de um vazamento de chave privada pode ser devastador, basta olharmos para o hack de US$ 305 milhões do DMM Bitcoin, uma das maiores violações de criptomoedas até o momento e possivelmente ocorre devido a problemas privados; gerenciamento de chaves ou falta de segurança adequada.
Após o vazamento de chaves privadas, os atores mal-intencionados muitas vezes lavam os fundos roubados por meio de bolsas descentralizadas (DEXs), serviços de mineração ou serviços mistos, ofuscando as transações e complicando o rastreamento. Até 2024, poderemos ver que a lavagem de dinheiro por hackers de chave privada difere significativamente da lavagem de dinheiro por hackers que aproveitam outros vetores de ataque. Por exemplo, depois de roubar chaves privadas, esses hackers recorrem frequentemente a serviços de ponte e híbridos. Entre outros vetores de ataque, as exchanges descentralizadas são mais comumente utilizadas para atividades de lavagem de dinheiro.
Hackers norte-coreanos roubarão mais plataformas criptográficas em 2024 do que nunca
Os hackers ligados à Coreia do Norte são conhecidos pelas suas tácticas sofisticadas e implacáveis, recorrendo frequentemente a malware avançado, engenharia social e roubo de criptomoedas para financiar operações patrocinadas pelo Estado e contornar sanções internacionais. Autoridades dos EUA e internacionais avaliaram que Pyongyang usa criptomoedas roubadas para financiar seus programas de armas de destruição em massa e mísseis balísticos, colocando em risco a segurança internacional. Em 2023, os hackers ligados à Coreia do Norte roubariam aproximadamente 660,5 milhões de dólares em 20 incidentes; em 2024, este número aumentou para 1,34 mil milhões de dólares em 47 incidentes, um aumento de 102,88% no valor roubado. Esses números representaram 61% do valor total roubado naquele ano e 20% do total de incidentes.
Note-se que no relatório do ano passado publicámos informações de que a Coreia do Norte roubou mil milhões de dólares através de 20 ataques de hackers. Após uma investigação mais aprofundada, determinamos que alguns grandes hacks anteriormente atribuídos à Coreia do Norte podem não ser mais relevantes, portanto o valor foi reduzido para US$ 660,5 milhões. No entanto, o número de incidentes permaneceu o mesmo, pois descobrimos outros hacks menores atribuídos à Coreia do Norte. Nosso objetivo é reavaliar continuamente nossa avaliação dos incidentes de hackers relacionados à Coreia do Norte à medida que obtemos novas evidências dentro e fora da rede.
Infelizmente, os ataques às criptomoedas da Coreia do Norte parecem estar a tornar-se mais frequentes. No gráfico abaixo, examinamos o tempo médio entre ataques bem-sucedidos na RPDC com base no tamanho da exploração e descobrimos que ataques de todos os tamanhos diminuíram ano após ano. Notavelmente, ataques no valor de 50 a 100 milhões de dólares e mais de 100 milhões de dólares ocorrerão com muito mais frequência em 2024 do que em 2023, sugerindo que a Coreia do Norte está a melhorar e a ser mais rápida nos ataques em grande escala. Isso contrasta fortemente com os dois anos anteriores, onde os lucros tendiam a ser inferiores a US$ 50 milhões cada.
Ao comparar as atividades da Coreia do Norte com todas as outras campanhas de hackers que monitorizamos, fica claro que a Coreia do Norte tem sido responsável pela maioria dos ataques em grande escala nos últimos três anos. Curiosamente, os hacks norte-coreanos têm valor mais baixo, especialmente em torno de US$ 10.000, e a densidade de hacks está aumentando.
Alguns destes incidentes parecem estar ligados a profissionais de TI norte-coreanos que se infiltram cada vez mais em empresas de criptomoedas e Web3, comprometendo as suas redes, operações e integridade. Esses funcionários costumam usar táticas, técnicas e procedimentos sofisticados (TTPs), como identidades falsas, contratação de agências de recrutamento terceirizadas e manipulação de oportunidades de trabalho remoto para obter acesso. No caso mais recente, o Departamento de Justiça dos EUA (DOJ) indiciou na quarta-feira 14 cidadãos norte-coreanos que trabalhavam como profissionais remotos de TI nos Estados Unidos. As empresas ganharam mais de US$ 88 milhões roubando informações proprietárias e extorquindo empregadores.
Para mitigar estes riscos, as empresas devem dar prioridade à devida diligência laboral minuciosa – incluindo verificações de antecedentes e verificação de identidade – mantendo, ao mesmo tempo, uma forte segurança de chave privada para proteger activos críticos, quando aplicável.
Embora todas estas tendências apontem para que a Coreia do Norte esteja muito ativa este ano, a maioria dos seus ataques ocorreram no início do ano, com a atividade global de hackers estagnada no terceiro e quarto trimestres, conforme mostrado no gráfico anterior.
No final de junho de 2024, o presidente russo Vladimir Putin e o líder norte-coreano Kim Jong Un também realizarão uma cimeira em Pyongyang para assinar um acordo de defesa mútua. Até agora, este ano, a Rússia libertou milhões de dólares em activos norte-coreanos anteriormente congelados sob sanções do Conselho de Segurança da ONU, sinalizando uma aliança crescente entre os dois países. A Coreia do Norte, entretanto, enviou tropas para a Ucrânia, forneceu mísseis balísticos à Rússia e alegadamente procurou tecnologia avançada de espaço, mísseis e submarinos de Moscovo.
Se compararmos as perdas médias diárias decorrentes das vulnerabilidades da RPDC antes e depois de 1 de julho de 2024, podemos ver uma diminuição significativa na quantidade de valor roubado. Conforme mostrado no gráfico abaixo, o montante roubado pela Coreia do Norte caiu cerca de 53,73%, enquanto o montante roubado por países não-Coreia do Norte aumentou cerca de 5%. Portanto, além de transferir recursos militares para o conflito na Ucrânia, a Coreia do Norte, que aumentou significativamente a sua cooperação com a Rússia nos últimos anos, também pode ter mudado as suas actividades cibercriminosas.
O declínio do roubo norte-coreano após 1 de Julho de 2024 é claro e o momento é claro, mas vale a pena notar que este declínio não está necessariamente ligado à visita de Putin a Pyongyang. Além disso, alguns eventos em dezembro podem alterar esse padrão no final do ano, e os invasores costumam lançar ataques durante os feriados.
Estudo de caso: Ataque da Coreia do Norte ao DMM Bitcoin
Um exemplo notável de hack relacionado à Coreia do Norte em 2024 envolveu a bolsa japonesa de criptomoedas DMM Bitcoin, que sofreu um hack que resultou na perda de aproximadamente 4.502,9 Bitcoins, no valor de US$ 305 milhões na época. Os invasores visaram vulnerabilidades na infraestrutura usada pelos DMMs, resultando em retiradas não autorizadas. Em resposta, a DMM, com o apoio das empresas do grupo, pagou integralmente os depósitos dos clientes, encontrando fundos equivalentes.
Conseguimos analisar os fluxos de fundos na cadeia após o ataque inicial e, na primeira fase, vimos os invasores moverem milhões de dólares em criptomoedas do DMM Bitcoin para vários endereços intermediários antes de finalmente chegarem ao servidor de mistura Bitcoin CoinJoin.
Depois de misturar com sucesso os fundos roubados usando o serviço de mistura Bitcoin CoinJoin, os invasores transferiram parte dos fundos por meio de alguns serviços de ponte para o Huioneguarantee, um mercado on-line associado ao conglomerado cambojano Huione Group, um importante player na área. Facilitar o crime cibernético.
DMM Bitcoin transferiu seus ativos e contas de clientes para a SBI VC Trade, uma subsidiária do conglomerado financeiro japonês SBI Group, com a transição prevista para ser concluída em março de 2025. Felizmente, estão surgindo ferramentas e técnicas preditivas emergentes, que exploraremos na próxima seção, para prepará-lo para evitar que tais hacks destrutivos aconteçam.
Pare os hackers com modelos preditivos
As tecnologias preditivas avançadas estão a transformar a segurança cibernética ao detetar riscos e ameaças potenciais em tempo real, proporcionando uma abordagem proativa para proteger os ecossistemas digitais. Vejamos o exemplo abaixo, envolvendo o provedor de liquidez descentralizada UwU Lend.
Em 10 de junho de 2024, os invasores obtiveram aproximadamente US$ 20 milhões em fundos manipulando o sistema oráculo de preços da UwU Lend. O invasor lançou um ataque rápido de empréstimo para alterar o preço do Ethena Staked USDe (sUSDe) em vários oráculos, resultando em avaliações incorretas. Como resultado, um invasor pode emprestar milhões de dólares em apenas sete minutos. A Hexagate detectou o contrato de ataque e sua implantação semelhante aproximadamente dois dias antes da exploração.
Embora o contrato de ataque tenha sido detectado com precisão em tempo real dois dias antes da vulnerabilidade ser explorada, a sua ligação ao contrato explorado não foi imediatamente aparente devido à sua concepção. Essa detecção precoce pode ser aproveitada ainda mais para mitigar ameaças com ferramentas adicionais, como os oráculos de segurança da Hexagate. Notavelmente, o primeiro ataque, que resultou em perdas de 8,2 milhões de dólares, ocorreu minutos antes dos ataques subsequentes, fornecendo outro sinal importante.
Esses alertas antes de grandes ataques em cadeia têm o potencial de transformar a segurança dos participantes da indústria, permitindo-lhes prevenir completamente hacks dispendiosos, em vez de responder a eles.
Na imagem abaixo, vemos que o invasor moveu os fundos roubados através de dois endereços intermediários antes que os fundos chegassem ao Tornado Cash, um misturador de contrato inteligente Ethereum aprovado pela OFAC.
No entanto, vale a pena notar que o mero acesso a estes modelos preditivos não garante proteção contra hackers, uma vez que os protocolos podem nem sempre ter as ferramentas adequadas para agir de forma eficaz.
Necessidade de segurança criptográfica mais forte
O aumento das criptomoedas roubadas em 2024 destaca a necessidade de a indústria responder a um cenário de ameaças cada vez mais complexo e em evolução. Embora a escala do roubo de criptomoedas ainda não tenha regressado aos níveis de 2021 e 2022, o ressurgimento observado acima destaca lacunas nas medidas de segurança existentes e a importância da adaptação a novos métodos de exploração. Para enfrentar eficazmente estes desafios, a colaboração entre os sectores público e privado é crucial. Programas de compartilhamento de dados, soluções de segurança em tempo real, ferramentas avançadas de rastreamento e treinamento direcionado podem permitir que as partes interessadas identifiquem e neutralizem rapidamente atores mal-intencionados, ao mesmo tempo em que desenvolvem a resiliência necessária para proteger ativos criptográficos.
Além disso, à medida que o quadro regulamentar para criptomoedas continua a evoluir, é provável que o escrutínio da segurança da plataforma e da proteção dos ativos dos clientes aumente. As melhores práticas da indústria devem acompanhar estas mudanças para garantir a prevenção e a responsabilização. Ao construir parcerias mais fortes com as autoridades policiais e ao fornecer às equipas os recursos e a experiência para responderem rapidamente, a indústria das criptomoedas pode reforçar as suas capacidades de prevenção de roubos. Estes esforços são fundamentais não só para proteger os bens pessoais, mas também para construir confiança e estabilidade a longo prazo no ecossistema digital.