Источник: Chainalysis; Подготовлено: Тао Чжу, Золотая финансовая информация

Атаки на криптовалюту остаются постоянной угрозой, в течение четырех из последних десяти лет было украдено более 1 миллиарда долларов в криптовалюте (2018, 2021, 2022 и 2023 годы). 2024 год станет пятым годом, достигшим этой тревожной вехи, подчеркивая, что с ростом использования и цен на криптовалюту также увеличивается сумма, подлежащая краже.

В 2024 году сумма украденных средств увеличилась на 21,07% по сравнению с прошлым годом, достигнув 2,2 миллиарда долларов, а количество индивидуальных хакерских инцидентов возросло с 282 в 2023 году до 303 в 2024 году.

minJ6AdbAzIr93rtphMGqfnqFH86fvC2kCYLrsn4.jpegИнтересно, что интенсивность хакерских атак на криптовалюту изменилась примерно в первой половине этого года. В нашем полугодовом отчете о преступности мы отметили, что накопленная стоимость, украденная в период с января по июль 2024 года, достигла 1,58 миллиарда долларов, что примерно на 84,4% выше, чем в аналогичный период 2023 года. Как мы видим на графике ниже, к концу июля экосистема была на пути к восстановлению, и этот год мог бы сравниться с более чем 3 миллиарда долларов в 2021 и 2022 годах. Однако восходящий тренд краж криптовалюты в 2024 году заметно замедлился после июля и остался относительно стабильным. Позже мы обсудим потенциальные геополитические причины этого изменения.

m3V7NqXp1UDZ6WkHp9QAZKYrHSDP5A5vYpEtnXY8.jpeg

Что касается украденной суммы, разбитой по типам платформ-жертв, в 2024 году также наблюдаются интересные закономерности. В большинстве кварталов с 2021 по 2023 год децентрализованные финансовые (DeFi) платформы были главными целями криптохакеров. Платформы DeFi могут быть более уязвимыми к атакам, поскольку их разработчики часто ставят приоритет на быстрый рост и выход продукта на рынок, а не на внедрение мер безопасности, что делает их основной целью для хакеров.

Несмотря на то, что в первом квартале 2024 года DeFi все еще занимает наибольшую долю украденных активов, централизованные сервисы стали наиболее целевыми во втором и третьем кварталах. Некоторые из самых известных атак на централизованные сервисы включают DMM Bitcoin (май 2024; 305 миллионов долларов) и WazirX (июль 2024; 234,9 миллиона долларов).

UnPkZQOqMsaIPIdikcioDAPDZh6wGxeiiPrNxIbt.jpeg

Этот сдвиг акцента с DeFi на централизованные сервисы подчеркивает растущую важность часто используемых хакерами механизмов безопасности (например, приватных ключей). В 2024 году утечка приватных ключей составила наибольшую долю в украденных криптовалютах — 43,8%. Для централизованных сервисов обеспечение безопасности приватных ключей имеет жизненно важное значение, поскольку они контролируют доступ к активам пользователей. Учитывая, что централизованные биржи управляют значительными средствами пользователей, последствия утечки приватных ключей могут быть разрушительными; достаточно взглянуть на хакерскую атаку на DMM Bitcoin на сумму 305 миллионов долларов, которая является одной из крупнейших утечек криптовалюты на сегодняшний день и, возможно, произошла из-за плохого управления приватными ключами или недостатка безопасности.

fQW0bbhcN6KcIiLeq9ytIC4gRRgKKXzX0njBC99k.jpeg

После утечки приватных ключей злоумышленники обычно отмывают украденные средства через децентрализованные биржи (DEX), услуги майнинга или сервисы смешивания, чтобы замаскировать следы транзакций и усложнить отслеживание. К 2024 году мы можем увидеть, что отмывание средств хакерами, использующими приватные ключи, значительно отличается от отмывания средств хакерами, использующими другие методы атаки. Например, после кражи приватных ключей эти хакеры часто обращаются к мостовым и смешивающим сервисам. Для других методов атаки децентрализованные биржи чаще используются для отмывания средств.

3Wuj4og3n1ht93TESVzy9ouLFuzwJJXMLVN8axQQ.jpeg

В 2024 году сумма, украденная хакерами Северной Кореи с криптоплатформ, будет больше, чем когда-либо прежде.

Хакеры, связанные с Северной Кореей, известны своими сложными и безжалостными методами, часто используя сложное вредоносное ПО, социальную инженерию и кражу криптовалюты для финансирования государственно спонсируемых операций и уклонения от международных санкций. Американские и международные официальные лица оценивают, что Пхеньян использует украденные криптовалюты для финансирования своей программы оружия массового поражения и баллистических ракет, что ставит под угрозу международную безопасность. К 2023 году хакеры, связанные с Северной Кореей, украли около 660,5 миллиона долларов в результате 20 инцидентов; к 2024 году эта сумма увеличилась до 1,34 миллиарда долларов в 47 инцидентах, что означает увеличение украденной стоимости на 102,88%. Эти цифры составляют 61% от общей украденной суммы в том году и 20% от общего числа инцидентов.

Обратите внимание, что в прошлом году в нашем отчете мы сообщали, что Северная Корея украла 1 миллиард долларов в результате 20 хакерских атак. После дальнейшего расследования мы определили, что некоторые крупные хакерские атаки, ранее приписанные Северной Корее, могут больше не быть актуальными, и сумма снизилась до 660,5 миллиона долларов. Однако количество инцидентов осталось неизменным, поскольку мы обнаружили другие меньшие хакерские атаки, приписываемые Северной Корее. Когда мы получаем новые доказательства на и вне блокчейна, мы стремимся постоянно переоценивать наши оценки инцидентов, связанных с Северной Кореей.

6PwlHopjIh3YQGfHDiYFxa3Lwi6LHwocT4PPyJdd.jpeg

К сожалению, похоже, что атаки Северной Кореи на криптовалюту становятся все более частыми. На следующем графике мы проверяем среднее время между успешными атаками DPRK в зависимости от масштаба уязвимости, и обнаруживаем, что атаки различных масштабов снизились по сравнению с предыдущим годом. Особенно стоит отметить, что в 2024 году частота атак на сумму от 50 до 100 миллионов долларов и более 100 миллионов долларов значительно превышает таковую в 2023 году, что указывает на то, что Северная Корея все лучше и быстрее справляется с крупными атаками. Это резко контрастирует с предыдущими двумя годами, когда их прибыль часто была ниже 50 миллионов долларов.

M9NrVEr7Bmr9lBpkmS9bHlVwo0OsSsiBhOMr27Ot.jpeg

Сравнивая деятельность Северной Кореи с другими хакерскими активностями, которые мы отслеживаем, становится очевидно, что Северная Корея несет ответственность за большинство крупных атак за последние три года. Интересно, что суммы хакерских атак, связанных с Северной Кореей, относительно невелики, особенно наблюдается увеличение плотности атак на сумму около 10 000 долларов.

Fy4FnCPPLvZIwBxpte6H7w60l19dPMcAo76QwyjU.jpeg

Некоторые из этих инцидентов, по-видимому, связаны с IT-работниками Северной Кореи, которые все чаще проникают в криптовалютные и Web3 компании, нанося ущерб их сетям, операциям и целостности. Эти сотрудники часто используют сложные стратегии, техники и процедуры (TTP), такие как поддельные личности, наем третьих лиц и манипуляции удаленной работой для получения доступа. В одном из недавних случаев Министерство юстиции США в среду предъявило обвинения 14 гражданам Северной Кореи, которые работали удаленными IT-работниками в США. Компании заработали более 88 миллионов долларов, украдя конфиденциальную информацию и вымогая своих работодателей.

Чтобы смягчить эти риски, компании должны отдать приоритет тщательной проверке сотрудников — включая проверку биографии и идентификации — при этом поддерживая высокую безопасность приватных ключей для защиты критически важных активов (если применимо).

Несмотря на то, что все эти тренды указывают на то, что Северная Корея была очень активна в этом году, большинство ее атак произошли в начале года, а общая хакерская активность сократилась в третьем и четвертом кварталах, как показано на предыдущем графике.

dkZ8DjiPY3AoRpHMD20RuYBMZZAkNT5cPuzoHrT7.jpeg

В конце июня 2024 года президент России Владимир Путин и лидер Северной Кореи Ким Чен Ын также проведут саммит в Пхеньяне, чтобы подписать соглашение о совместной обороне. На данный момент в этом году Россия освободила ранее замороженные миллионы долларов активов Северной Кореи в соответствии с санкциями Совета Безопасности ООН, что подчеркивает развитие альянса между двумя странами. В то же время Северная Корея развернула войска в Украине и предоставила России баллистические ракеты, а также, как сообщается, запрашивала современные технологии в области космоса, ракет и подводных лодок у Москвы.

Если мы сравним среднедневные убытки от уязвимости DPRK до и после 1 июля 2024 года, мы увидим значительное снижение украденной стоимости. Как показано на рисунке ниже, сумма, украденная Северной Кореей, снизилась примерно на 53,73%, в то время как сумма, украденная не северокорейцами, увеличилась примерно на 5%. Таким образом, помимо перераспределения военных ресурсов на конфликт в Украине, Северная Корея, которая в последние годы значительно усилила сотрудничество с Россией, также могла изменить свои киберпреступные действия.

LhryntjNb2L3byMCN0jxOVm6GzJ4D6C0ud1PgkMF.jpeg

Снижение средств, украденных Северной Кореей после 1 июля 2024 года, очевидно, и время тоже является очевидным, но стоит отметить, что это снижение не обязательно связано с визитом Путина в Пхеньян. Кроме того, некоторые события в декабре могут изменить эту тенденцию в конце года, и злоумышленники часто совершают атаки в праздничный период.

Кейс: Атака Северной Кореи на DMM Bitcoin

Один из известных примеров хакерских атак, связанных с Северной Кореей, произошел в 2024 году, когда японская криптовалютная биржа DMM Bitcoin была взломана, что привело к потере около 4502,9 биткоинов, на тот момент эквивалентных 305 миллионам долларов. Нападающие использовали уязвимости в инфраструктуре, используемой DMM, что привело к несанкционированным выводам. В ответ DMM, при поддержке своей группы компаний, полностью возместила клиентские депозиты, найдя эквивалентные средства.

Мы смогли проанализировать движение средств в блокчейне после первоначальной атаки. На первом этапе мы увидели, как злоумышленники перевели криптовалюту на миллионы долларов из DMM Bitcoin на несколько промежуточных адресов, прежде чем она в конечном итоге достигла сервера смешивания Bitcoin CoinJoin.

n2SmBjbuTWsyz5OKWVX3Dh9q8Hrw7Qgb2fNvAAl9.jpeg

После успешного смешивания украденных средств с использованием биткойн-сервиса CoinJoin злоумышленники перевели часть средств через несколько мостовых сервисов на Huioneguarantee, онлайн-рынок, связанный с камбоджийской бизнес-группой Huione Group, которая является значительным игроком в этой области, способствующей киберпреступности.

3DDOS2tjEDyWcYzmLPR27S4Sc016YRx1gd8yQ4Vf.jpeg

DMM Bitcoin перенесла свои активы и клиентские счета в дочернюю компанию японской финансовой группы SBI Group, SBI VC Trade, с завершением перехода, запланированным на март 2025 года. К счастью, новые инструменты и прогнозные технологии появляются на горизонте, и мы изучим их в следующем разделе, чтобы подготовиться к предотвращению подобных разрушительных хакерских атак.

Использование прогнозных моделей для предотвращения хакерских атак

Современные прогнозные технологии меняют кибербезопасность, предоставляя проактивный подход к защите цифровых экосистем путем выявления потенциальных рисков и угроз в реальном времени. Давайте посмотрим на приведенный ниже пример, связанный с децентрализованным поставщиком ликвидности UwU Lend.

10 июня 2024 года злоумышленники манипулировали системой ораклов цен UwU Lend, получив около 20 миллионов долларов. Нападающие инициировали атаку с использованием мгновенного займа, чтобы изменить цену Ethena Staked USDe (sUSDe) на нескольких ораклах, что привело к неправильной оценке. Таким образом, злоумышленники смогли занять миллионы долларов всего за семь минут. Hexagate обнаружил атакующий контракт и его аналогичные развертывания примерно за два дня до эксплуатации уязвимости.

Хотя атакующий контракт был точно обнаружен в реальном времени за два дня до эксплуатации уязвимости, из-за его конструкции связь с эксплуатируемым контрактом не проявилась немедленно. С помощью других инструментов, таких как безопасный оракул Hexagate, можно еще больше использовать это раннее обнаружение для снижения угрозы. Стоит отметить, что первая атака, приведшая к убыткам в 8,2 миллиона долларов, произошла за несколько минут до последующих атак, что предоставило еще один важный сигнал.

Такие предупреждения, выданные до значительных атак в блокчейне, могут изменить безопасность участников отрасли, позволяя им полностью предотвратить дорогостоящие хакерские атаки, а не только реагировать на них.

59DXjYwczvFvXvVbujglt57Jg7tpCGPTmkXHQ6XZ.jpeg

На рисунке ниже мы видим, как злоумышленники перевели украденные средства через два промежуточных адреса перед тем, как они достигли одобренного OFAC смесителя Ethereum Tornado Cash.

bULNHgVtsnh9uSSULtVyPgyjRSToijouh5CGtYCg.jpeg

Однако стоит отметить, что просто доступ к этим прогнозным моделям не гарантирует предотвращение хакерских атак, поскольку протоколы могут не всегда обладать надлежащими инструментами для эффективного реагирования.

Необходимость в более сильной криптографической безопасности

Увеличение украденной криптовалюты в 2024 году подчеркивает необходимость отрасли справляться с всё более сложным и постоянно меняющимся ландшафтом угроз. Хотя масштаб кражи криптовалюты еще не восстановился до уровней 2021 и 2022 годов, возобновление вышеупомянутых инцидентов подчеркивает пробелы в существующих мерах безопасности и важность адаптации к новым методам эксплуатации. Эффективная реакция на эти вызовы требует сотрудничества между государственным и частным секторами. Программы обмена данными, решения для реальной безопасности, современные инструменты отслеживания и целенаправленное обучение могут помочь заинтересованным сторонам быстро выявлять и уничтожать злоумышленников, одновременно создавая необходимую устойчивость для защиты криптоактивов.

Кроме того, по мере развития нормативной базы для криптовалюты контроль за безопасностью платформ и защитой активов клиентов может усилиться. Лучшие практики в отрасли должны идти в ногу с этими изменениями, обеспечивая профилактику и подотчетность. Укрепив партнерство с правоохранительными органами и предоставив командам ресурсы и экспертизу для быстрого реагирования, криптовалютная отрасль может усилить свои способности к предотвращению кражи. Эти усилия важны не только для защиты личных активов, но и для создания долгосрочного доверия и стабильности в цифровой экосистеме.