Sursa: Chainalysis; Compilat de: Tao Zhu, Jinse Finance

Atacurile cibernetice asupra criptomonedelor continuă să reprezinte o amenințare persistentă, în patru dintre ultimii zece ani, criptomonede în valoare de peste 1 miliard de dolari au fost furate (2018, 2021, 2022 și 2023). Anul 2024 va fi al cincilea an în care se atinge acest prag alarmant, subliniind că, odată cu adoptarea criptomonedelor și creșterea prețurilor, suma care poate fi furată continuă să crească.

În 2024, fondurile furate au crescut cu aproximativ 21,07% față de anul precedent, atingând 2,2 miliarde de dolari, iar numărul incidentelor de hacking individuale a crescut de la 282 în 2023 la 303 în 2024.

minJ6AdbAzIr93rtphMGqfnqFH86fvC2kCYLrsn4.jpegInteresant este că intensitatea atacurilor cibernetice asupra criptomonedelor a fluctuat în prima jumătate a acestui an. În actualizarea noastră semestrială a criminalității, am observat că valoarea acumulată furată între ianuarie 2024 și iulie 2024 a atins 1,58 miliarde de dolari, cu aproximativ 84,4% mai mult decât valoarea furată în aceeași perioadă din 2023. Așa cum vedem în graficul de mai jos, până la sfârșitul lunii iulie, ecosistemul a avut o tendință clară de a reveni pe drumul cel bun, acest an având potențialul de a fi comparabil cu cei peste 3 miliarde de dolari din 2021 și 2022. Totuși, tendința de creștere a furturilor de criptomonede în 2024 a încetinit semnificativ după luna iulie, menținându-se relativ stabilă ulterior. Vom explora mai târziu motivele geopolitice potențiale pentru această schimbare.

m3V7NqXp1UDZ6WkHp9QAZKYrHSDP5A5vYpEtnXY8.jpeg

În ceea ce privește suma furată, împărțită pe tipuri de platforme afectate, anul 2024 a adus de asemenea modele interesante. În majoritatea trimestrilor dintre 2021 și 2023, platformele financiare descentralizate (DeFi) au fost principalele ținte ale hackerilor de criptomonede. Platformele DeFi pot fi mai vulnerabile la atacuri, deoarece dezvoltatorii lor tind să prioritizeze creșterea rapidă și lansarea produselor pe piață, în detrimentul implementării măsurilor de securitate, ceea ce le face o țintă principală pentru hackeri.

Deși în primul trimestru din 2024 DeFi a reprezentat în continuare cea mai mare parte a activelor furate, serviciile centralizate au fost cele mai vizate în al doilea și al treilea trimestru. Unele dintre cele mai notabile atacuri asupra serviciilor centralizate includ DMM Bitcoin (mai 2024; 305 milioane de dolari) și WazirX (iulie 2024; 234,9 milioane de dolari).

UnPkZQOqMsaIPIdikcioDAPDZh6wGxeiiPrNxIbt.jpeg

Această schimbare de focalizare de la DeFi la servicii centralizate subliniază importanța crescândă a mecanismelor de securitate utilizate frecvent de hackeri (de exemplu, cheile private). În 2024, proporția de chei private compromise în criptomonedele furate a fost cea mai mare, atingând 43,8%. Pentru serviciile centralizate, asigurarea securității cheilor private este esențială, deoarece acestea controlează accesul la activele utilizatorilor. Având în vedere că bursele centralizate gestionează fonduri mari ale utilizatorilor, impactul unei scurgeri de chei private poate fi devastator; trebuie doar să ne uităm la incidentul de hacking DMM Bitcoin, în valoare de 305 milioane de dolari, care este unul dintre cele mai mari breșe în criptomonede de până acum, care s-ar putea fi produs din cauza gestionării defectuoase a cheilor private sau a lipsei de securitate adecvată.

fQW0bbhcN6KcIiLeq9ytIC4gRRgKKXzX0njBC99k.jpeg

După scurgerea cheilor private, actorii rău intenționați își spală de obicei fondurile furate prin intermediul burselor descentralizate (DEX), serviciilor de minerit sau serviciilor de amestecare, complicând astfel urma tranzacțiilor și făcându-le mai greu de urmărit. Până în 2024, putem observa că activitățile de spălare a banilor ale hackerilor care au obținut chei private compromise sunt foarte diferite de cele ale hackerilor care utilizează alte medii de atac. De exemplu, după ce fură chei private, acești hackeri se îndreaptă adesea spre servicii de punte și amestecare. Pentru alte medii de atac, bursele descentralizate sunt utilizate mai frecvent pentru activitățile de spălare a banilor.

3Wuj4og3n1ht93TESVzy9ouLFuzwJJXMLVN8axQQ.jpeg

În 2024, hackerii nord-coreeni vor fura mai mult decât oricând de pe platformele de criptomonede

Hackerii asociați cu Coreea de Nord sunt notorii pentru metodele lor complexe și nemiloase, folosind frecvent malware avansat, inginerie socială și furt de criptomonede pentru a finanța acțiuni sprijinite de stat și pentru a evita sancțiunile internaționale. Ofițerii americani și internaționali estimează că Phenianul folosește criptomonedele furate pentru a finanța programele sale de arme de distrugere în masă și rachete balistice, punând în pericol securitatea internațională. Până în 2023, hackerii asociați cu Coreea de Nord au furat aproximativ 660,5 milioane de dolari prin 20 de incidente; până în 2024, această sumă a crescut la 1,34 miliarde de dolari prin 47 de incidente, cu o creștere de 102,88% a valorii furate. Aceste cifre reprezintă 61% din totalul sumei furate în acel an și 20% din numărul total de incidente.

Vă rugăm să rețineți că în raportul de anul trecut, am publicat informații conform cărora Coreea de Nord a furat 1 miliard de dolari prin 20 de atacuri cibernetice. După o investigație suplimentară, am constatat că unele dintre atacurile mari atribuite anterior Coreei de Nord ar putea să nu mai fie relevante, reducând astfel suma la 660,5 milioane de dolari. Totuși, numărul incidentelor a rămas constant, deoarece am descoperit alte atacuri cibernetice mai mici atribuite Coreei de Nord. Pe măsură ce obținem dovezi noi, atât pe blockchain cât și off-chain, ne propunem să reevaluăm constant evaluările noastre privind incidentele de hacking asociate cu Coreea de Nord.

6PwlHopjIh3YQGfHDiYFxa3Lwi6LHwocT4PPyJdd.jpeg

Din păcate, atacurile cibernetice ale Coreei de Nord asupra criptomonedelor par să devină din ce în ce mai frecvente. În graficul de mai jos, examinăm timpul mediu între succesele atacurilor DPRK în funcție de amploarea exploatării, descoperind o scădere a frecvenței atacurilor de toate dimensiunile. Este demn de remarcat faptul că atacurile din 2024, în valoare de 50 până la 100 de milioane de dolari și cele de peste 100 de milioane de dolari, au avut o frecvență mult mai mare decât în 2023, ceea ce sugerează că Coreea de Nord devine din ce în ce mai eficientă și rapidă în realizarea atacurilor de amploare. Aceasta contrastează puternic cu anii anteriori, în care profiturile fiecărui atac erau de obicei sub 50 de milioane de dolari.

M9NrVEr7Bmr9lBpkmS9bHlVwo0OsSsiBhOMr27Ot.jpeg

Când comparăm activitățile Coreei de Nord cu toate celelalte activități de hacking pe care le monitorizăm, devine evident că Coreea de Nord a fost responsabilă pentru majoritatea atacurilor de amploare în ultimii trei ani. Interesant este că atacurile cibernetice din Coreea de Nord au avut sume mai mici, în special densitatea atacurilor în jurul valorii de 10.000 de dolari crescând constant.

Fy4FnCPPLvZIwBxpte6H7w60l19dPMcAo76QwyjU.jpeg

Unele dintre aceste incidente par să fie legate de angajați IT din Coreea de Nord, care infiltrează din ce în ce mai mult companii de criptomonede și Web3, afectând rețelele, operațiunile și integritatea acestora. Acesti angajați folosesc adesea strategii, tehnici și procese complexe (TTP), precum identități false, angajarea de intermediari de recrutare terți și manipularea oportunităților de muncă la distanță pentru a obține acces. Într-un caz recent, Departamentul de Justiție al Statelor Unite a acuzat miercuri 14 cetățeni nord-coreeni care au lucrat de la distanță în Statele Unite. Compania a câștigat peste 88 de milioane de dolari prin furtul de informații proprietare și prin șantajarea angajatorilor.

Pentru a atenua aceste riscuri, companiile ar trebui să acorde prioritate unei due diligence riguroase în angajare - inclusiv verificări ale antecedentelor și autentificare - menținând în același timp o securitate puternică a cheilor private pentru a proteja activele critice (dacă este cazul).

Deși toate aceste tendințe sugerează că Coreea de Nord a fost foarte activă în acest an, majoritatea atacurilor sale au avut loc la începutul anului, iar activitatea generală de hacking a stagnat în trimestrul al treilea și al patrulea, așa cum se arată în graficul anterior.

dkZ8DjiPY3AoRpHMD20RuYBMZZAkNT5cPuzoHrT7.jpeg

La sfârșitul lunii iunie 2024, președintele rus Vladimir Putin și liderul nord-coreean Kim Jong-un se vor întâlni la Phenian pentru a semna un acord de apărare comun. Până în acest an, Rusia a eliberat milioane de dolari din activele nord-coreene anterior înghețate, în conformitate cu sancțiunile Consiliului de Securitate al Națiunilor Unite, marcând o dezvoltare continuă a alianței dintre cele două țări. Între timp, Coreea de Nord a desfășurat trupe în Ucraina, furnizând Rusiei rachete balistice și căutând avansuri în tehnologia spațială, rachetelor și submarinelor.

Dacă comparăm pierderile medii zilnice cauzate de breșele DPRK înainte și după 1 iulie 2024, putem observa o scădere semnificativă a valorii furate. După cum se arată în graficul de mai jos, suma furată de Coreea de Nord a scăzut cu aproximativ 53,73%, în timp ce suma furată de altele a crescut cu aproximativ 5%. Prin urmare, pe lângă redirecționarea resurselor militare către conflictul din Ucraina, Coreea de Nord, care a consolidat semnificativ colaborarea cu Rusia în ultimii ani, ar putea fi, de asemenea, în proces de schimbare a activităților sale de criminalitate cibernetică.

LhryntjNb2L3byMCN0jxOVm6GzJ4D6C0ud1PgkMF.jpeg

Scăderea fondurilor furate de Coreea de Nord după 1 iulie 2024 este evidentă, iar momentul este, de asemenea, clar, dar este important de menționat că această scădere nu este neapărat legată de vizita lui Putin la Phenian. În plus, unele incidente care au avut loc în decembrie ar putea schimba acest model la sfârșitul anului, iar hackerii lansează adesea atacuri în timpul sărbătorilor.

Studiu de caz: Atacul Coreei de Nord asupra DMM Bitcoin

Un exemplu notabil de atac cibernetic asociat cu Coreea de Nord în 2024 implică bursa japoneză de criptomonede DMM Bitcoin, care a fost atacată, rezultând pierderi de aproximativ 4.502,9 bitcoin, în acel moment având o valoare de 305 milioane de dolari. Hackerii au vizat o vulnerabilitate în infrastructura utilizată de DMM, ceea ce a dus la retrageri neautorizate. Ca răspuns, DMM, cu sprijinul companiei-mamă, a compensat integral depozitele clienților prin căutarea de fonduri echivalente.

Am reușit să analizăm fluxul de fonduri pe blockchain după atacul inițial; în prima etapă, am observat că hackerii au transferat criptomonede în valoare de milioane de dolari de la DMM Bitcoin către câteva adrese intermediare, pentru a ajunge în cele din urmă la serverul de mixare Bitcoin CoinJoin.

n2SmBjbuTWsyz5OKWVX3Dh9q8Hrw7Qgb2fNvAAl9.jpeg

După ce au reușit să amestece fondurile furate folosind serviciul de amestecare Bitcoin CoinJoin, hackerii au transferat o parte din fonduri către Huioneguarantee prin intermediul unor servicii de punte, un marketplace online asociat cu grupul de afaceri cambodgian Huione Group, un jucător important în domeniu care facilitează criminalitatea cibernetică.

3DDOS2tjEDyWcYzmLPR27S4Sc016YRx1gd8yQ4Vf.jpeg

DMM Bitcoin și-a transferat activele și conturile clienților către subsidiara grupului financiar japonez SBI, SBI VC Trade, iar tranziția este programată să se finalizeze în martie 2025. Din fericire, instrumentele emergente și tehnologiile de prognoză sunt în ascensiune, iar noi vom explora în secțiunea următoare cum să ne pregătim pentru a preveni astfel de atacuri cibernetice distructive.

Utilizarea modelelor predictive pentru a preveni atacurile cibernetice

Tehnologiile avansate de prognoză transformă securitatea cibernetică prin detectarea în timp real a riscurilor și amenințărilor potențiale, oferind o abordare proactivă pentru a proteja ecosistemul digital. Să examinăm exemplul de mai jos, care implică furnizorul de lichiditate descentralizat UwU Lend.

Pe 10 iunie 2024, hackerii au obținut aproximativ 20 de milioane de dolari prin manipularea sistemului de oracle de prețuri al UwU Lend. Hackerii au inițiat un atac de împrumut rapid pentru a schimba prețul USDe staked (sUSDe) pe mai multe oracle-uri, ceea ce a dus la evaluări incorecte. Drept urmare, hackerii au putut împrumuta milioane de dolari în doar șapte minute. Hexagate a detectat contractul de atac cu aproximativ două zile înainte de exploatarea vulnerabilității.

Deși contractul de atac a fost detectat cu exactitate în timp real cu două zile înainte de exploatarea vulnerabilității, din cauza designului său, legătura cu contractul exploatat nu a fost imediat evidentă. Cu ajutorul unor instrumente precum oracle-urile de securitate Hexagate, această detecție timpurie poate fi folosită pentru a atenua amenințările. Este demn de remarcat faptul că primul atac, care a dus la pierderi de 8,2 milioane de dolari, a avut loc cu câteva minute înainte de atacurile ulterioare, oferind un alt semnal important.

Alerta emisă înainte de atacuri majore pe blockchain are potențialul de a schimba securitatea participanților din industrie, permițându-le să prevină complet atacurile cibernetice costisitoare, mai degrabă decât să reacționeze la acestea.

59DXjYwczvFvXvVbujglt57Jg7tpCGPTmkXHQ6XZ.jpeg

În graficul de mai jos, vedem că hackerii au transferat fondurile furate prin două adrese intermediare înainte ca acestea să ajungă la mixerul de contracte inteligente Ethereum aprobat de OFAC, Tornado Cash.

bULNHgVtsnh9uSSULtVyPgyjRSToijouh5CGtYCg.jpeg

Cu toate acestea, este important de menționat că simpla accesare a acestor modele predictive nu garantează prevenirea atacurilor cibernetice, deoarece protocoalele s-ar putea să nu dispună întotdeauna de instrumentele adecvate pentru a acționa eficient.

Este necesară o securitate criptografică mai puternică

Creșterea criptomonedelor furate în 2024 subliniază nevoia industriei de a răspunde la amenințările din ce în ce mai complexe și în continuă schimbare. Deși amploarea furturilor de criptomonede nu a revenit la nivelurile din 2021 și 2022, revenirea menționată subliniază lacunele în măsurile de securitate existente și importanța adaptării la noi metode de exploatare. Pentru a face față eficient acestor provocări, colaborarea între sectorul public și privat este esențială. Programele de partajare a datelor, soluțiile de securitate în timp real, instrumentele avansate de urmărire și formarea țintită pot permite părților interesate să identifice și să elimine rapid actorii rău intenționați, construind în același timp reziliența necesară pentru a proteja activele criptografice.

În plus, pe măsură ce cadrul de reglementare pentru criptomonede continuă să evolueze, revizuirile legate de securitatea platformelor și protecția activelor clienților ar putea fi consolidate. Cele mai bune practici din industrie trebuie să țină pasul cu aceste schimbări, asigurând prevenirea și responsabilizarea. Prin stabilirea unor parteneriate mai strânse cu agențiile de aplicare a legii și oferind echipelor resurse și expertiză rapidă în răspuns, industria criptomonedelor poate să-și întărească capacitățile de prevenire a furtului. Aceste eforturi sunt esențiale nu doar pentru protejarea activelor individuale, ci și pentru construirea încrederii și stabilității pe termen lung în ecosistemul digital.