Sursa: Chainalysis; compilat de Tao Zhu, Jinse Finance

Atacurile cibernetice asupra criptomonedelor rămân o amenințare constantă, în patru dintre ultimii zece ani, criptomonede în valoare de peste 1 miliard de dolari au fost furate (2018, 2021, 2022 și 2023). Anul 2024 este al cincilea an în care se atinge acest prag îngrijorător, subliniind faptul că pe măsură ce criptomonedele sunt adoptate și prețurile cresc, sumele care pot fi furate sunt de asemenea în creștere.

În 2024, fondurile furate au crescut cu aproximativ 21,07% față de anul anterior, ajungând la 2,2 miliarde de dolari, iar numărul incidentelor de hacking individuale a crescut de la 282 în 2023 la 303 în 2024.

Este interesant de observat că intensitatea atacurilor cibernetice asupra criptomonedelor a variat în prima jumătate a acestui an. În actualizarea noastră semestrială asupra criminalității, am observat că valoarea cumulată a furturilor din perioada ianuarie 2024 până în iulie 2024 a ajuns la 1,58 miliarde de dolari, cu aproximativ 84,4% mai mult decât valoarea furată în aceeași perioadă din 2023. Așa cum vedem în graficul de mai jos, până la sfârșitul lunii iulie, ecosistemul era pe calea de a se îmbunătăți, iar acest an ar putea fi comparabil cu peste 3 miliarde de dolari din 2021 și 2022. Cu toate acestea, tendința de creștere a furturilor de criptomonede în 2024 s-a încetinit semnificativ după luna iulie, menținându-se apoi relativ stabilă. Ulterior, vom explora posibilele cauze geopolitice ale acestei schimbări.

În ceea ce privește sumele furate în funcție de tipul platformei victime, 2024 a prezentat de asemenea modele interesante. În majoritatea trimestrilor din 2021 până în 2023, platformele de finanțare descentralizată (DeFi) au fost principalele ținte ale hackerilor de criptomonede. Platformele DeFi pot fi mai vulnerabile la atacuri deoarece dezvoltatorii lor tind să prioritizeze creșterea rapidă și lansarea produselor pe piață, în detrimentul implementării măsurilor de securitate, făcându-le astfel ținte principale pentru hackeri.

Deși în primul trimestru din 2024 DeFi rămâne cea mai mare parte a activelor furate, serviciile centralizate au fost cele mai vizate în al doilea și al treilea trimestru. Unele dintre cele mai cunoscute atacuri de hacking asupra serviciilor centralizate includ DMM Bitcoin (mai 2024; 305 milioane de dolari) și WazirX (iulie 2024; 234.9 milioane de dolari).

Această schimbare de focalizare de la DeFi la serviciile centralizate subliniază importanța tot mai mare a mecanismelor de securitate utilizate frecvent de hackeri (cum ar fi cheile private). În 2024, scurgerile de chei private au reprezentat cea mai mare proporție a criptomonedelor furate, atingând 43.8%. Pentru serviciile centralizate, asigurarea securității cheilor private este esențială, deoarece acestea controlează accesul la activele utilizatorilor. Având în vedere că schimburile centralizate administrează fonduri mari ale utilizatorilor, impactul unei scurgeri de chei private poate fi devastator; trebuie să ne uităm doar la atacul DMM Bitcoin, în valoare de 305 milioane de dolari, care este unul dintre cele mai mari breșe de criptomonede de până acum, care ar fi putut surveni din cauza gestionării deficitare a cheilor private sau a lipsei de securitate adecvată.

După ce au fost compromise cheile private, actorii rău intenționați își spală adesea fondurile furate prin intermediul platformelor de schimb descentralizate (DEX), serviciilor de minare sau serviciilor de mixare pentru a confuza traseul tranzacțiilor și a face urmărirea mai complexă. Până în 2024, putem observa că activitățile de spălare a banilor efectuate de hackerii de chei private sunt foarte diferite de cele ale hackerilor care utilizează alte medii de atac. De exemplu, după ce fură cheile private, acești hackeri se îndreaptă adesea către servicii de punte și de mixare. În cazul altor medii de atac, platformele de schimb descentralizate sunt mai frecvent utilizate pentru activitățile de spălare a banilor.

În 2024, hackerii din Coreea de Nord au furat mai mult decât oricând de pe platformele de criptomonede.

Hackeri legați de Coreea de Nord sunt notorii pentru metodele lor complexe și nemiloase, adesea folosind malware avansat, inginerie socială și furt de criptomonede pentru a finanța acțiuni susținute de stat și a evita sancțiunile internaționale. Oficialii americani și internaționali estimează că Phenianul folosește criptomonede furate pentru a finanța programele sale de arme de distrugere în masă și rachete balistice, punând în pericol securitatea internațională. Până în 2023, hackerii legați de Coreea de Nord au furat aproximativ 660.5 milioane de dolari prin 20 de incidente; până în 2024, această sumă a crescut la 1.34 miliarde de dolari prin 47 de incidente, cu o creștere de 102.88% a valorii furate. Aceste cifre reprezintă 61% din suma totală furată în acel an și 20% din numărul total de incidente.

Vă rugăm să rețineți că în raportul de anul trecut am publicat informații conform cărora Coreea de Nord a furat 1 miliard de dolari prin 20 de atacuri. După o investigație suplimentară, am determinat că unele dintre atacurile de hacking mai mari atribuite anterior Coreei de Nord nu mai sunt relevante, reducând astfel suma la 660.5 milioane de dolari. Cu toate acestea, numărul incidentelor rămâne constant, deoarece am descoperit alte atacuri de hacking mai mici atribuite Coreei de Nord. Când obținem noi dovezi on-chain și off-chain, scopul nostru este de a reevaluare constantă a evaluării noastre asupra incidentelor de hacking legate de Coreea de Nord.

Din păcate, atacurile cibernetice ale Coreei de Nord par să devină din ce în ce mai frecvente. În graficul de mai jos, analizăm timpul mediu între succesul atacurilor DPRK în funcție de amploarea exploatării și descoperim că atacurile de diferite dimensiuni au scăzut comparativ cu anul precedent. Este demn de menționat că atacurile în valoare de 50 până la 100 de milioane de dolari, precum și cele de peste 100 de milioane de dolari au avut o frecvență mult mai mare în 2024 decât în 2023, ceea ce indică faptul că Coreea de Nord devine din ce în ce mai eficientă și rapidă în atacurile de amploare. Acest lucru contrastează puternic cu primii doi ani, când profiturile lor pe atac erau adesea sub 50 de milioane de dolari.

Comparând activitățile Coreei de Nord cu toate celelalte activități de hacking pe care le monitorizăm, este evident că Coreea de Nord a fost responsabilă pentru majoritatea atacurilor de amploare în ultimii trei ani. Interesant este că sumele atacurilor cibernetice din Coreea de Nord sunt mai mici, în special densitatea atacurilor în jurul valorii de 10.000 de dolari continuând să crească.

Unele dintre aceste evenimente par să fie legate de angajați IT din Coreea de Nord, care infiltrază din ce în ce mai mult companii în domeniul criptomonedelor și Web3, compromițându-le rețelele, operațiunile și integritatea. Acești angajați folosesc adesea strategii, tehnici și proceduri complexe (TTP), cum ar fi identități false, angajarea de intermediari de recrutare terți și manipularea oportunităților de muncă la distanță pentru a obține acces. Într-un caz recent, Ministerul Justiției din SUA (DOJ) a acuzat miercuri 14 cetățeni nord-coreeni care lucrau ca angajați IT remote în SUA. Companiile au câștigat peste 88 de milioane de dolari prin furtul de informații proprietare și prin răscumpărarea angajatorilor.

Pentru a atenua aceste riscuri, companiile ar trebui să acorde prioritate unei evaluări riguroase a angajărilor - inclusiv verificări de fond și validări ale identității - în timp ce mențin o securitate puternică a cheilor private pentru a proteja activele critice (dacă este cazul).

Deși toate aceste tendințe sugerează că Coreea de Nord a fost foarte activă anul acesta, majoritatea atacurilor sale au avut loc la începutul anului, activitatea generală de hacking stagnând în trimestrul trei și patru, așa cum se arată în graficele anterioare.

La sfârșitul lunii iunie 2024, președintele Rusiei, Vladimir Putin, și liderul Coreei de Nord, Kim Jong-un, vor avea de asemenea un summit la Phenian, pentru a semna un acord comun de apărare. Până acum în acest an, Rusia a eliberat active nord-coreene în valoare de milioane de dolari, anterior înghețate conform sancțiunilor Consiliului de Securitate al Națiunilor Unite, ceea ce marchează dezvoltarea continuării alianței dintre cele două țări. Între timp, Coreea de Nord a desfășurat trupe în Ucraina, oferind Rusiei rachete balistice și raportându-se că solicită Moscovei tehnologie avansată în domeniul spațial, rachetelor și submarinelor.

Dacă comparăm pierderile medii zilnice cauzate de vulnerabilitățile DPRK înainte și după 1 iulie 2024, putem observa o scădere semnificativă a valorii furate. Așa cum se arată în graficul de mai jos, suma furată de Coreea de Nord a scăzut cu aproximativ 53.73%, în timp ce suma furată de alte entități a crescut cu aproximativ 5%. Prin urmare, pe lângă redirecționarea resurselor militare către conflictul din Ucraina, Coreea de Nord, care a întărit semnificativ cooperarea cu Rusia în ultimii ani, ar putea schimba și activitățile sale de criminalitate cibernetică.

Scăderea sumei furate de Coreea de Nord după 1 iulie 2024 este evidentă, iar momentul este de asemenea clar, dar este important de menționat că această scădere nu este neapărat legată de vizita lui Putin la Phenian. În plus, unele evenimente care vor avea loc în decembrie ar putea schimba acest model la sfârșitul anului, iar atacatorii lansează adesea atacuri în timpul sărbătorilor.

Studiu de caz: Atacul Coreei de Nord asupra DMM Bitcoin

Un exemplu notabil de atac cibernetic legat de Coreea de Nord din 2024 implică schimbul de criptomonede japonez DMM Bitcoin, care a fost atacat, provocând pierderi de aproximativ 4,502.9 Bitcoin, în acel moment evaluându-se la 305 milioane de dolari. Atacatorii au exploatat vulnerabilitățile infrastructurii utilizate de DMM, ceea ce a dus la retrageri neautorizate. În acest sens, DMM a compensat integral depozitele clienților, cu ajutorul grupului său de companii, găsind fonduri echivalente.

Am putut analiza fluxul de fonduri pe blockchain după atacul inițial, observând că, în prima etapă, atacatorii au transferat criptomonede în valoare de milioane de dolari de la DMM Bitcoin către câteva adrese intermediare, care au ajuns în cele din urmă la serverele de mixare Bitcoin CoinJoin.

După ce au reușit să amestece fondurile furate folosind serviciul de mixare CoinJoin Bitcoin, atacatorii au transferat o parte din fonduri către Huioneguarantee prin intermediul unor servicii de punte, acest lucru fiind un marketplace online asociat cu grupul de afaceri din Cambodgia Huione Group, un actor semnificativ în domeniul facilitării criminalității cibernetice.

DMM Bitcoin și-a transferat activele și conturile clienților către subsidiarele grupului financiar japonez SBI, SBI VC Trade, trecerea fiind programată să se finalizeze în martie 2025. Din fericire, instrumentele emergente și tehnologiile predictive sunt în creștere, iar noi vom explora în secțiunea următoare cum să ne pregătim pentru a preveni astfel de atacuri de hacking distructive.

Utilizarea modelelor predictive pentru a preveni atacurile cibernetice.

Tehnologiile avansate de predicție, prin detectarea în timp real a riscurilor și amenințărilor potențiale, transformă securitatea cibernetică, oferind o abordare proactivă pentru a proteja ecosistemul digital. Să ne uităm la exemplul de mai jos, care implică furnizorul de lichiditate descentralizat UwU Lend.

Pe 10 iunie 2024, atacatorii au obținut aproximativ 20 de milioane de dolari prin manipularea sistemului de oracle de prețuri al UwU Lend. Atacatorii au inițiat un atac de tip flash loan pentru a modifica prețul Ethena Staked USDe (sUSDe) pe mai multe oracle, ceea ce a dus la evaluări incorecte. Astfel, atacatorii au putut împrumuta milioane de dolari în doar șapte minute. Hexagate a detectat contractul de atac cu aproximativ două zile înainte de exploatarea vulnerabilității și implementarea sa similară.

Deși contractul de atac a fost detectat cu precizie în timp real cu două zile înainte de exploatarea vulnerabilității, din cauza designului său, legătura sa cu contractul exploatat nu a fost evidentă imediat. Cu ajutorul unor instrumente suplimentare, cum ar fi oracle-urile de securitate de la Hexagate, această detectare timpurie poate fi utilizată pentru a atenua amenințarea. Este demn de menționat că primul atac, care a dus la o pierdere de 8,2 milioane de dolari, a avut loc cu câteva minute înainte de atacurile ulterioare, oferind un alt semnal important.

Avertizările emise înainte de atacuri majore pe blockchain au potențialul de a schimba securitatea participanților din industrie, permițându-le să prevină complet atacurile costisitoare, în loc să reacționeze la acestea.

În graficul de mai jos, vedem că atacatorii au transferat fondurile furate prin două adrese intermediare înainte ca acestea să ajungă la mixerul de contracte inteligente Ethereum aprobat de OFAC, Tornado Cash.

Cu toate acestea, este important de menționat că accesarea acestor modele predictive nu garantează prevenirea atacurilor cibernetice, deoarece protocoalele nu dispun întotdeauna de instrumentele adecvate pentru a acționa eficient.

Este nevoie de o securitate criptografică mai puternică.

Creșterea criptomonedelor furate în 2024 subliniază necesitatea ca industria să facă față amenințărilor din ce în ce mai complexe și în continuă schimbare. Deși amploarea furtului de criptomonede nu a revenit la nivelurile din 2021 și 2022, reînvigorarea menționată mai sus subliniază lacunele în măsurile de securitate existente și importanța adaptării la noile metode de exploatare. Colaborarea între sectorul public și cel privat este esențială pentru a face față acestor provocări. Programele de partajare a datelor, soluțiile de securitate în timp real, instrumentele avansate de urmărire și trainingurile țintite pot permite părților interesate să identifice și să elimine rapid actorii rău intenționați, în timp ce construiesc reziliența necesară pentru a proteja activele criptografice.

În plus, pe măsură ce cadrul de reglementare a criptomonedelor continuă să evolueze, verificarea securității platformelor și protecția activelor clienților ar putea fi consolidate. Cele mai bune practici din industrie trebuie să țină pasul cu aceste schimbări pentru a asigura prevenirea și responsabilizarea. Prin construirea unor parteneriate mai strânse cu agențiile de aplicare a legii și oferind echipelor resurse și expertiză pentru răspuns rapid, industria criptomonedelor poate întări capacitățile sale de prevenire a furturilor. Aceste eforturi sunt esențiale nu doar pentru protejarea activelor individuale, ci și pentru construirea unei încrederi și stabilități pe termen lung în ecosistemul digital.