Источник: Chainalysis; подготовлено: Тао Чжу, Золотая Финансовая
Атаки хакеров на криптовалюту по-прежнему представляют собой продолжающуюся угрозу; в четыре года из последних десяти были украдены криптовалюты на сумму более 1 миллиарда долларов (в 2018, 2021, 2022 и 2023 годах). 2024 год станет пятым годом, когда будет достигнут этот тревожный рубеж, подчеркивающий, что по мере увеличения принятия криптовалюты и роста цен также увеличивается и сумма, которую можно украсть.
В 2024 году объем украденных средств увеличился примерно на 21,07%, достигнув 2,2 миллиарда долларов, количество индивидуальных хакерских инцидентов возросло с 282 в 2023 году до 303 в 2024 году.
Интересно, что интенсивность атак хакеров на криптовалюты изменилась примерно в первой половине этого года. В нашем обновлении по преступности в середине года мы отметили, что накопленная стоимость украденных средств с января по июль 2024 года достигла 1,58 миллиарда долларов, что примерно на 84,4% больше, чем в аналогичный период 2023 года. Как мы увидим на графике ниже, к концу июля экосистема легко могла вернуться на правильный путь, и этот год мог сравниться с более чем 3 миллиарда долларов в 2021 и 2022 годах. Однако рост краж криптовалюты в 2024 году после июля заметно замедлился и затем оставался относительно стабильным. Позже мы рассмотрим возможные геополитические причины этого изменения.
Что касается суммы украденных средств по типу платформ жертвы, в 2024 году также наблюдаются интересные модели. В большинстве кварталов с 2021 по 2023 год децентрализованные финансовые (DeFi) платформы были основными целями для хакеров криптовалюты. Платформы DeFi могут быть более уязвимы к атакам, поскольку их разработчики, как правило, предпочитают стремительный рост и вывод продуктов на рынок, а не внедрение мер безопасности, что делает их основной целью для хакеров.
Несмотря на то, что в первом квартале 2024 года DeFi по-прежнему занимает наибольшую долю украденных активов, централизованные сервисы стали наиболее целевыми во втором и третьем кварталах. Некоторые из самых известных атак на централизованные сервисы включают DMM Bitcoin (май 2024 года; 305 миллионов долларов) и WazirX (июль 2024 года; 234,9 миллиона долларов).
Этот сдвиг акцента от DeFi к централизованным сервисам подчеркивает растущую важность механизмов безопасности, часто используемых хакерами (например, приватных ключей). В 2024 году утечка приватных ключей составила наибольшую долю в украденной криптовалюте, достигнув 43,8%. Для централизованных сервисов обеспечение безопасности приватных ключей имеет решающее значение, поскольку они контролируют доступ к активам пользователей. Учитывая, что централизованные биржи управляют значительными средствами пользователей, последствия утечки приватных ключей могут быть катастрофическими; достаточно взглянуть на хакерскую атаку на DMM Bitcoin на сумму 305 миллионов долларов, которая является одной из крупнейших утечек криптовалюты на сегодняшний день и, возможно, произошла из-за плохого управления приватными ключами или недостатка должной безопасности.
После утечки приватного ключа злоумышленники обычно отмывают украденные средства через децентрализованные биржи (DEX), майнинговые услуги или смешивающие сервисы, чтобы запутать следы транзакций и усложнить отслеживание. К 2024 году мы можем увидеть значительные различия в отмывании денег хакерами, похитившими приватные ключи, и хакерами, использующими другие средства атаки. Например, после кражи приватных ключей эти хакеры часто обращаются к мостам и смешивающим сервисам. Для других средств атаки децентрализованные биржи чаще используются для отмывания средств.
В 2024 году хакеры Северной Кореи похитят больше средств с криптоплатформ, чем когда-либо.
Хакеры, связанные с Северной Кореей, известны своими сложными и беспощадными методами, которые они часто используют с целью финансирования действий, поддерживаемых государством, и обхода международных санкций, используя сложные вредоносные программы, социальную инженерию и кражу криптовалюты. Американские и международные чиновники оценивают, что Пхеньян использует украденную криптовалюту для финансирования своих программ по разработке оружия массового уничтожения и баллистических ракет, что угрожает международной безопасности. К 2023 году хакеры, связанные с Северной Кореей, похитят около 660,5 миллионов долларов через 20 инцидентов; к 2024 году эта сумма возрастет до 1,34 миллиарда долларов в 47 инцидентах — увеличение украденной стоимости на 102,88%. Эти цифры составляют 61% от общей суммы украденных средств в этом году и 20% от общего числа инцидентов.
Обратите внимание, что в прошлом отчете мы сообщали о том, что Северная Корея украла 1 миллиард долларов через 20 хакерских атак. После дальнейшего расследования мы определили, что некоторые из крупных хакерских атак, ранее приписываемых Северной Корее, могут больше не быть актуальными, и поэтому сумма уменьшилась до 660,5 миллионов долларов. Тем не менее, количество инцидентов осталось прежним, так как мы обнаружили другие меньшие хакерские атаки, приписываемые Северной Корее. Когда мы получаем новые доказательства на цепочке и вне цепочки, наша цель — постоянно переоценивать нашу оценку хакерских инцидентов, связанных с Северной Кореей.
К сожалению, атаки Северной Кореи на криптовалюту, похоже, становятся все более частыми. В следующем графике мы исследуем среднее время между успешными атаками DPRK в зависимости от масштаба уязвимости, и наблюдаем, что атаки различного масштаба снижаются по сравнению с прошлым годом. Стоит отметить, что в 2024 году частота атак на сумму от 50 до 100 миллионов долларов и более 100 миллионов долларов значительно выше, чем в 2023 году, что свидетельствует о том, что Северная Корея становится все более эффективной и быстрой в осуществлении крупных атак. Это резко контрастирует с предыдущими двумя годами, когда ее прибыль за каждую атаку часто составляла менее 50 миллионов долларов.
Сравнивая деятельность Северной Кореи с остальными хакерскими атаками, которые мы мониторим, становится очевидно, что Северная Корея несет ответственность за большинство крупных атак за последние три года. Интересно, что суммы, связанные с атаками северокорейских хакеров, ниже, особенно плотность атак на суммы около 10 000 долларов постоянно увеличивается.
Некоторые из этих инцидентов, похоже, связаны с работниками IT из Северной Кореи, которые все чаще проникают в криптовалютные и Web3 компании, нанося ущерб их сетям, операциям и целостности. Эти сотрудники часто используют сложные стратегии, технологии и процедуры (TTP), такие как поддельные личности, использование третьих сторон рекрутеров и манипуляции удаленными рабочими возможностями для получения доступа. В одном из недавних случаев Министерство юстиции США в среду предъявило обвинение 14 гражданам Северной Кореи, работающим в США в качестве удаленных IT-специалистов. Компании заработали более 88 миллионов долларов, похитив собственную информацию и шантажируя своих работодателей.
Чтобы снизить эти риски, компаниям следует приоритизировать тщательное досье на сотрудников — включая проверки биографии и идентификации — при этом поддерживая надежную безопасность приватных ключей для защиты критически важных активов (если это применимо).
Несмотря на то что все эти тенденции указывают на то, что Северная Корея была очень активна в этом году, большая часть атак произошла в начале года, а общая хакерская активность в третьем и четвертом кварталах замедлилась, как показано на предыдущих графиках.
В конце июня 2024 года президент России Владимир Путин и лидер Северной Кореи Ким Чен Ын также встретятся в Пхеньяне, чтобы подписать совместный оборонный договор. На данный момент Россия освободила ранее замороженные северокорейские активы на миллионы долларов в соответствии с санкциями Совета безопасности ООН, что свидетельствует о продолжающемся развитии альянса между двумя странами. Тем временем Северная Корея развернула войска в Украине и предоставила России баллистические ракеты, сообщается также, что она обращалась в Москву за передовыми технологиями в области космоса, ракет и подводных лодок.
Если мы сравним среднедневные убытки от уязвимостей DPRK до и после 1 июля 2024 года, мы можем увидеть значительное снижение суммы украденных средств. Конкретно, как показано на графике ниже, сумма, похищенная Северной Кореей, снизилась примерно на 53,73%, в то время как сумма, похищенная не северокорейскими хакерами, увеличилась примерно на 5%. Таким образом, помимо перенаправления военных ресурсов на конфликт в Украине, Северная Корея, которая значительно усилила сотрудничество с Россией в последние годы, также может изменять свою деятельность в области киберпреступности.
Снижение средств, похищенных Северной Кореей после 1 июля 2024 года, очевидно, и время этого снижения также значимо, но стоит отметить, что это снижение не обязательно связано с визитом Путина в Пхеньян. Кроме того, некоторые инциденты, произошедшие в декабре, могут изменить эту тенденцию к концу года, и злоумышленники часто совершают атаки в праздничные дни.
Кейс: Атака Северной Кореи на DMM Bitcoin
Одним из известных примеров хакерской атаки, связанной с Северной Кореей в 2024 году, является атака на японскую криптовалютную биржу DMM Bitcoin, которая была взломана, что привело к потере около 4502,9 биткойнов, когда их стоимость составляла 305 миллионов долларов. Злоумышленники использовали уязвимость в инфраструктуре, используемой DMM, что привело к несанкционированным выводам средств. В ответ DMM при поддержке своей группы компаний полностью возместила клиентские депозиты, найдя эквивалентные средства.
Мы смогли проанализировать потоки средств на цепочке после первоначальной атаки, и на первом этапе мы увидели, как злоумышленники перевели криптовалюту на сумму в миллионы долларов с DMM Bitcoin на несколько промежуточных адресов, а затем в конечном итоге на смешивающие серверы Bitcoin CoinJoin.
После успешного смешивания украденных средств с использованием сервиса смешивания Bitcoin CoinJoin злоумышленники перевели часть средств через некоторые мостовые сервисы на Huioneguarantee, онлайн-рынок, связанный с камбоджийским бизнесом Huione Group, важным игроком в данной области, способствующим киберпреступности.
DMM Bitcoin перевела свои активы и клиентские счета в дочернюю компанию японской финансовой группы SBI Group SBI VC Trade, переход планируется завершить в марте 2025 года. К счастью, новые инструменты и предсказательные технологии появляются на горизонте, которые мы обсудим в следующем разделе, чтобы подготовиться к предотвращению таких разрушительных хакерских атак.
Использование предсказательных моделей для предотвращения хакерских атак.
Современные предсказательные технологии, осуществляющие реальное время для обнаружения потенциальных рисков и угроз, меняют кибербезопасность, предлагая проактивный подход к защите цифровой экосистемы. Давайте рассмотрим следующий пример, связанный с децентрализованным провайдером ликвидности UwU Lend.
10 июня 2024 года злоумышленники манипулировали системой оракулов цен UwU Lend и похитили около 20 миллионов долларов. Злоумышленники инициировали атаку с использованием флеш-кредита, чтобы изменить цену Ethena Staked USDe (sUSDe) на нескольких оракулах, что привело к неправильной оценке. Таким образом, злоумышленники смогли занять миллионы долларов всего за семь минут. Hexagate обнаружил атакующий контракт и его аналогичные развертывания примерно за два дня до эксплуатации.
Хотя атакующий контракт был точно обнаружен в реальном времени за два дня до эксплуатации, из-за его проектных особенностей связь с эксплуатируемым контрактом не была немедленно очевидной. С помощью других инструментов, таких как безопасные оракулы Hexagate, можно дополнительно использовать эту раннюю детекцию для снижения угроз. Стоит отметить, что первая атака, приведшая к убытку в 8,2 миллиона долларов, произошла за несколько минут до последующих атак, что дало еще один важный сигнал.
Такие предупреждения, выданные перед серьезными атаками на цепочке, могут изменить уровень безопасности участников отрасли, позволяя им полностью предотвращать дорогостоящие хакерские атаки, вместо того чтобы реагировать на них.
На следующем графике мы видим, что злоумышленники перевели украденные средства через два промежуточных адреса, прежде чем они достигли одобренного OFAC смешивателя смарт-контрактов Ethereum Tornado Cash.
Тем не менее, стоит отметить, что простое обращение к этим предсказательным моделям не гарантирует защиту от хакерских атак, поскольку протоколы могут не всегда иметь подходящие инструменты для эффективного реагирования.
Необходима более сильная криптографическая безопасность.
Увеличение украденной криптовалюты в 2024 году подчеркивает необходимость отрасли справляться с все более сложной и постоянно меняющейся угрозой. Хотя масштабы кражи криптовалюты еще не восстановились до уровней 2021 и 2022 годов, вышеупомянутое возрождение подчеркивает пробелы в существующих мерах безопасности и важность адаптации к новым методам эксплуатации. Для эффективного противодействия этим вызовам сотрудничество между государственным и частным секторами имеет решающее значение. Программы обмена данными, решения по безопасности в реальном времени, современные инструменты отслеживания и целенаправленное обучение могут позволить заинтересованным сторонам быстро выявлять и уничтожать злоумышленников, одновременно создавая устойчивость, необходимую для защиты криптоактивов.
Кроме того, с развитием регуляторной структуры криптовалюты, проверки безопасности платформ и защиты активов клиентов могут усилиться. Лучшие практики в отрасли должны соответствовать этим изменениям, чтобы обеспечить предотвращение и подотчетность. Укрепив партнерские отношения с правоохранительными органами и предоставив командам ресурсы и экспертизу для быстрой реакции, криптовалютная отрасль может усилить свою защиту от кражи. Эти усилия важны не только для защиты личных активов, но и для создания долгосрочного доверия и стабильности в цифровой экосистеме.
