Sursa: Chainalysis
Compilat de: Tao Zhu, Jinse Finance
Atacurile hackerilor de criptomonede rămân o amenințare constantă, iar în patru din ultimii zece ani, valoarea criptomonedelor furate a depășit un miliard de dolari (2018, 2021, 2022 și 2023). 2024 este al cincilea an în care se atinge acest prag îngrijorător, subliniind faptul că, pe măsură ce utilizarea criptomonedelor și prețurile cresc, suma care poate fi furată este, de asemenea, în creștere.
În 2024, fondurile furate au crescut cu aproximativ 21,07% față de anul precedent, atingând 2,2 miliarde de dolari, iar numărul incidentelor de hacking individuale a crescut de la 282 în 2023 la 303 în 2024.
Este interesant de menționat că intensitatea atacurilor hackerilor de criptomonede a variat în jurul primei jumătăți a anului. În actualizarea noastră de criminalitate de la mijlocul anului, am observat că valoarea acumulată a criptomonedelor furate între ianuarie 2024 și iulie 2024 a ajuns la 1,58 miliarde de dolari, cu aproximativ 84,4% mai mult decât valoarea furată în aceeași perioadă din 2023. Așa cum se poate observa în graficul de mai jos, ecosistemul a fost pe o traiectorie bună, iar acest an poate fi comparat cu cele 3 miliarde de dolari din 2021 și 2022. Cu toate acestea, tendința de creștere a furtului de criptomonede în 2024 a încetinit semnificativ după luna iulie, menținându-se relativ stabil ulterior. Vom explora mai târziu cauzele geopolitice potențiale ale acestei schimbări.
În ceea ce privește suma furată, 2024 a prezentat și un model interesant în funcție de tipul platformei victime. În majoritatea trimestrilor din 2021 până în 2023, platformele financiare descentralizate (DeFi) au fost principalele ținte ale hackerilor de criptomonede. Platformele DeFi pot fi mai ușor de atacat, deoarece dezvoltatorii lor tind să prioritizeze creșterea rapidă și lansarea produselor pe piață, în detrimentul implementării măsurilor de securitate, ceea ce le face ținte principale pentru hackeri.
Deși în primul trimestru din 2024 DeFi a reprezentat în continuare cea mai mare parte a activelor furate, serviciile centralizate au fost cele mai vizate în trimestrele două și trei. Unele dintre cele mai notabile atacuri hackerice asupra serviciilor centralizate includ DMM Bitcoin (mai 2024; 305 milioane de dolari) și WazirX (iulie 2024; 234,9 milioane de dolari).
Această schimbare de focalizare de la DeFi la servicii centralizate subliniază importanța tot mai mare a mecanismelor de securitate utilizate frecvent de hackeri (cum ar fi cheile private). În 2024, scurgerile de chei private reprezintă cea mai mare proporție din criptomonedele furate, atingând 43,8%. Pentru serviciile centralizate, asigurarea securității cheilor private este esențială, deoarece acestea controlează accesul la activele utilizatorilor. Având în vedere că bursele centralizate administrează sume mari de fonduri ale utilizatorilor, impactul scurgerilor de chei private poate fi devastator; un exemplu este incidentul de hacking DMM Bitcoin, în valoare de 305 milioane de dolari, care este unul dintre cele mai mari breșe de securitate de criptomonede de până acum, probabil cauzat de o gestionare deficitară a cheilor private sau de lipsa unei securități adecvate.
După scurgerea cheilor private, actorii rău intenționați își spală de obicei fondurile furate prin burse descentralizate (DEX), servicii de minare sau servicii de mixare, complicând astfel urmărea tranzacțiilor. Până în 2024, putem observa că activitățile de spălare de bani ale hackerilor de chei private diferă semnificativ de cele ale hackerilor care utilizează alte medii de atac. De exemplu, după ce fură cheile private, acești hackeri tind să se îndrepte către servicii de pod și de mixare. În cazul altor medii de atac, bursele descentralizate sunt mai frecvent folosite în activitățile de spălare de bani.
În 2024, suma furată de hackerii nord-coreeni de pe platformele de criptomonede va fi mai mare ca niciodată.
Hackerii asociați cu Coreea de Nord sunt notorii pentru metodele lor complexe și nemiloase, adesea folosind malware avansat, inginerie socială și furt de criptomonede pentru a finanța acțiuni susținute de stat și pentru a evita sancțiunile internaționale. Oficiali din SUA și internaționali estimează că Phenianul folosește criptomonedele furate pentru a-și finanța programele de arme de distrugere în masă și de rachete balistice, punând în pericol securitatea internațională. Până în 2023, hackerii asociați cu Coreea de Nord au furat aproximativ 660,5 milioane de dolari prin 20 de incidente; până în 2024, această sumă a crescut la 1,34 miliarde de dolari în 47 de incidente, cu o creștere a valorii furate de 102,88%. Aceste cifre reprezintă 61% din suma totală furată în acel an și 20% din numărul total de incidente.
Vă rugăm să rețineți că în raportul de anul trecut am publicat informații conform cărora Coreea de Nord a furat 1 miliard de dolari prin 20 de atacuri. După o investigație mai aprofundată, am determinat că unele dintre marile atacuri de hacking atribuite anterior Coreei de Nord ar putea să nu mai fie relevante, reducând suma la 660,5 milioane de dolari. Totuși, numărul incidentelor a rămas constant, deoarece am descoperit alte atacuri de hacking mai mici atribuite Coreei de Nord. Atunci când obținem noi dovezi pe lanț și off-chain, obiectivul nostru este să reevaluăm constant evaluările noastre asupra incidentelor de hacking asociate cu Coreea de Nord.
Din păcate, atacurile Coreei de Nord asupra criptomonedelor par să devină din ce în ce mai frecvente. În graficul de mai jos, examinăm timpul mediu între atacurile DPRK de succes în funcție de amploarea exploatărilor, descoperind că atacurile de diferite dimensiuni au scăzut în comparație cu anul precedent. Este important de menționat că atacurile din 2024, în valoare de 50-100 de milioane de dolari și cele de peste 100 de milioane de dolari, au avut o frecvență mult mai mare decât în 2023, ceea ce sugerează că Coreea de Nord devine din ce în ce mai eficientă și mai rapidă în atacurile de amploare. Acest lucru contrastează puternic cu anii anteriori, când profiturile fiecărui atac erau adesea sub 50 de milioane de dolari.
Comparând activitățile Coreei de Nord cu toate celelalte activități de hacking pe care le monitorizăm, este evident că Coreea de Nord a fost responsabilă pentru majoritatea atacurilor de amploare în ultimii trei ani. Este interesant de menționat că sumele atacurilor hackerilor nord-coreeni sunt mai mici, în special densitatea atacurilor în jurul valorii de 10.000 de dolari este, de asemenea, în creștere.
Unele dintre aceste evenimente par să fie legate de profesioniști IT nord-coreeni, care se infiltrează din ce în ce mai mult în companiile de criptomonede și Web3, compromițând rețelele, operațiunile și integritatea acestora. Acești angajați folosesc adesea strategii, tehnici și procese complexe (TTP), cum ar fi identități false, angajarea de agenții de recrutare terțe și manipularea oportunităților de muncă la distanță pentru a obține acces. Într-un caz recent, Ministerul Justiției din SUA a acuzat miercuri 14 cetățeni nord-coreeni care au lucrat ca angajați IT la distanță în SUA. Compania a câștigat peste 88 de milioane de dolari prin furtul de informații proprietare și prin șantajarea angajatorilor.
Pentru a atenua aceste riscuri, companiile ar trebui să prioritizeze o due diligence riguroasă în angajare - inclusiv verificări de fundal și identificare - în timp ce mențin o securitate puternică a cheilor private pentru a proteja activele esențiale (dacă este cazul).
Cu toate că toate aceste tendințe sugerează că Coreea de Nord a fost foarte activă în acest an, majoritatea atacurilor au avut loc la începutul anului, iar activitatea generală de hacking a stagnat în trimestrele trei și patru, așa cum arată graficul anterior.
La sfârșitul lunii iunie 2024, președintele rus Vladimir Putin și liderul nord-coreean Kim Jong-un se vor întâlni de asemenea la Phenian pentru a semna un acord de apărare comun. Până acum, Rusia a eliberat milioane de dolari în active nord-coreene anterior înghețate, conform sancțiunilor impuse de Consiliul de Securitate al ONU, marcând dezvoltarea continuă a alianței dintre cele două țări. Între timp, Coreea de Nord a desfășurat trupe în Ucraina și a oferit Rusiei rachete balistice, iar se raportează că a solicitat Moscovei tehnologie avansată în domeniul spațiului, rachetelor și submarinelor.
Dacă comparăm pierderile medii zilnice ale breșelor DPRK înainte și după 1 iulie 2024, putem observa o scădere semnificativă a valorii furate. Așa cum se arată în graficul de mai jos, suma furată de Coreea de Nord a scăzut cu aproximativ 53,73%, în timp ce suma furată de non-Coreea de Nord a crescut cu aproximativ 5%. Prin urmare, pe lângă redistribuirea resurselor militare către conflictul din Ucraina, Coreea de Nord, care a întărit semnificativ cooperarea cu Rusia în ultimii ani, ar putea de asemenea să-și schimbe activitățile de criminalitate cibernetică.
După 1 iulie 2024, scăderea fondurilor furate de către nord-coreeni este evidentă, iar momentul este de asemenea clar, dar este important de menționat că această scădere nu este neapărat legată de vizita lui Putin la Phenian. În plus, unele evenimente care vor avea loc în decembrie ar putea schimba acest model la sfârșitul anului, iar atacatorii tind să lanseze atacuri în timpul sărbătorilor.
Studiu de caz: Atacul Coreei de Nord asupra DMM Bitcoin.
Un exemplu notabil de atacuri hackerice asociate cu Coreea de Nord în 2024 a implicat bursa de criptomonede japoneză DMM Bitcoin, care a fost atacată, ducând la pierderi de aproximativ 4,502.9 bitcoin, echivalând pe atunci cu 305 milioane de dolari. Atacatorii au exploatat vulnerabilitățile din infrastructura utilizată de DMM, ceea ce a dus la retrageri neautorizate. În acest sens, DMM, cu sprijinul grupului său, a căutat să plătească integral depozitele clienților prin găsirea de fonduri echivalente.
Am reușit să analizăm fluxul de fonduri pe lanț după atacul inițial; în prima etapă, am observat că atacatorii au transferat criptomonede în valoare de milioane de dolari de la DMM Bitcoin către mai multe adrese intermediare, ajungând în cele din urmă la serverele de mixare Bitcoin CoinJoin.
După ce au amestecat cu succes fondurile furate folosind serviciul de mixare Bitcoin CoinJoin, atacatorii au transferat o parte din fonduri prin unele servicii de pod către Huioneguarantee, un marketplace online asociat cu grupul de afaceri din Cambodgia, Huione Group, care este un jucător important în domeniul facilitării criminalității cibernetice.
DMM Bitcoin și-a transferat activele și conturile clienților către subsidiarele grupului financiar japonez SBI, SBI VC Trade, iar tranziția este programată să se finalizeze în martie 2025. Din fericire, noi instrumente și tehnologii de predicție emergente sunt în ascensiune, iar despre acestea vom discuta în secțiunea următoare pentru a ne pregăti pentru prevenirea acestor atacuri cibernetice devastatoare.
Utilizarea modelelor de predicție pentru a preveni atacurile hackerilor.
Tehnologiile avansate de predicție transformă securitatea cibernetică prin detectarea în timp real a riscurilor și amenințărilor potențiale, oferind o metodă proactivă de protejare a ecosistemului digital. Să aruncăm o privire asupra exemplelor de mai jos, implicând furnizorul de lichiditate descentralizat UwU Lend.
Pe 10 iunie 2024, atacatorii au obținut aproximativ 20 de milioane de dolari prin manipularea sistemului de oracle de preț al UwU Lend. Atacatorii au inițiat un atac de tip flash loan pentru a modifica prețul Ethena Staked USDe (sUSDe) pe mai multe oracle-uri, ducând la evaluări incorecte. Astfel, atacatorii au reușit să împrumute milioane de dolari în doar șapte minute. Hexagate a detectat contractul de atac cu aproximativ două zile înainte de exploatarea vulnerabilității.
Deși contractul de atac a fost detectat cu precizie în timp real cu două zile înainte de exploatarea vulnerabilității, din cauza designului său, legătura cu contractul exploatat nu a fost imediat evidentă. Alte instrumente, cum ar fi oracle-urile de securitate Hexagate, pot fi folosite pentru a îmbunătăți și mai mult această detecție timpurie pentru a atenua amenințările. Este notabil că primul atac, care a dus la pierderi de 8,2 milioane de dolari, a avut loc cu câteva minute înainte de atacurile de urmărire, oferind un alt semnal important.
Asemenea alerte emise înainte de atacuri majore pe lanț au potențialul de a schimba securitatea participanților din industrie, permițându-le să prevină complet atacurile costisitoare, în loc să reacționeze la acestea.
În graficul de mai jos, vedem că atacatorii au transferat fondurile furate prin două adrese intermediare înainte de a ajunge la mixerele de contracte inteligente Ethereum aprobate de OFAC, Tornado Cash.
Cu toate acestea, este important de menționat că accesarea acestor modele de predicție nu garantează prevenirea atacurilor hackerilor, deoarece protocoalele nu dispun întotdeauna de instrumentele adecvate pentru a acționa eficient.
Este necesară o securitate criptografică mai puternică.
Creșterea criptomonedelor furate în 2024 subliniază necesitatea ca această industrie să răspundă la amenințările tot mai complexe și în continuă schimbare. Deși amploarea furtului de criptomonede nu a revenit la nivelurile din 2021 și 2022, revenirea menționată mai sus subliniază lacunele în măsurile de securitate existente și importanța adaptării la noile metode de exploatare. Colaborarea între sectorul public și cel privat este esențială pentru a răspunde eficient acestor provocări. Programele de partajare a datelor, soluțiile de securitate în timp real, instrumentele avansate de urmărire și formarea țintită pot permite părților interesate să identifice rapid și să elimine actorii rău intenționați, în timp ce se construiește reziliența necesară pentru a proteja activele criptografice.
În plus, pe măsură ce cadrul de reglementare pentru criptomonede continuă să evolueze, examinarea securității platformelor și protecția activelor clienților ar putea fi întărite. Cele mai bune practici din industrie trebuie să țină pasul cu aceste schimbări, asigurând prevenirea și responsabilizarea. Prin construirea unor parteneriate mai puternice cu autoritățile de aplicare a legii și oferind echipelor resurse și expertiză pentru reacții rapide, industria criptomonedelor poate să-și consolideze capacitatea de a preveni furturile. Aceste eforturi sunt esențiale nu doar pentru protejarea activelor individuale, ci și pentru construirea unei încrederi și stabilități pe termen lung în ecosistemul digital.