Криптовалютная индустрия пережила трагический поворотный момент в 2024 году, когда хакеры воспользовались уязвимостями, чтобы украсть цифровые активы на сумму $2,2 млрд. Из них самыми могущественными были северокорейские хакеры, на долю которых пришлось $1,3 млрд. украденных денег. Растущая угроза криптобизнесу и глобальной безопасности подчеркивается тем фактом, что, по данным Chainalysis, стоимость, украденная организациями, связанными с Северной Кореей, выросла на 102,88% с 2023 года.
Фото: Chainanalysis
Растущая тенденция цифрового воровства
Сектор всегда боролся с кражей криптовалют, и в некоторые годы были зафиксированы исторически высокие суммы краж. Из-за роста частоты и интенсивности хакерских атак общая сумма краж в 2024 году увеличилась более чем на 21% по сравнению с предыдущим годом. Количество сообщений о нарушениях возросло с 282 в 2023 году до 303 в целом, что подчеркивает сохраняющуюся уязвимость отрасли.
Фото: Chainanalysis
В 2024 году хакерская деятельность пошла по другому руслу. Общая сумма краж криптовалюты за период с января по июль составила $1,58 млрд, что на 84,4% больше, чем за аналогичный период 2023 года. Сначала аналитики думали, что 2024 год может соответствовать рекордным годам 2021 и 2022, когда ежегодно крали более $3 млрд. Однако после середины года количество случаев взлома существенно сократилось, что указывает на возможность внешнего влияния.
Изменение цели: централизованные платформы против DeFi
Хакеры исторически нацелились на децентрализованные финансовые сети в первую очередь из-за их быстрых циклов разработки и иногда неадекватных механизмов безопасности. Большинство украденных активов в начале 2024 года были приписаны DeFi. Тем не менее, во втором и третьем кварталах года произошли заметные изменения, и централизованные системы приняли на себя основной удар атак.
Эта тенденция прослеживается в двух крупных нарушениях: потеря $234,9 млн от WazirX в июле и взлом DMM Bitcoin на $305 млн в мае. Эти инциденты подчеркивают слабости централизованных сервисов, особенно в отношении управления закрытыми ключами. Компрометация закрытых ключей была наиболее частым вектором атак в 2024 году, составляя 43,8% всех краж криптовалюты.
Фото: Chainanalysis
Неотъемлемой частью безопасности являются закрытые ключи, которые обеспечивают доступ к деньгам пользователей. Взлом DMM Bitcoin показывает, что любая компрометация может иметь катастрофические последствия. Помимо финансовых потерь, неспособность биржи в достаточной степени защитить свои закрытые ключи в конечном итоге привела к ее закрытию в том же году.
Крупный участник крипто-хакерства – Северная Корея
Широкомасштабное воровство криптовалют стало ассоциироваться с северокорейскими хакерами. Они были наиболее распространенными субъектами в этой сфере в 2024 году, составляя 61% от общей суммы похищенных средств. 1,3 миллиарда долларов, похищенных в ходе 47 атак, — это существенное увеличение по сравнению с 660,5 миллионами долларов, похищенными в ходе 20 взломов в 2023 году. Зависимость Пхеньяна от кражи криптовалют для финансирования своих программ вооружения и обхода международных санкций отражается в этом всплеске активности.
Фото: Chainanalysis
Северокорейские хакеры разрабатывают все более сложные стратегии. В 2024 году они чаще проводили масштабные эксплойты, чаще нацеливаясь на суммы свыше 50 миллионов долларов, чем в предыдущие годы. Они также расширили сферу своей деятельности, чтобы охватить взломы меньших масштабов, нацеливаясь на суммы всего лишь в 10 000 долларов.
Фото: Chainanalysis
Кибершпионаж и проникновение в рабочую силу
Проникновение северокорейских IT-специалистов в криптофирмы является проблемой развития. Чтобы получить доступ к критически важным сетям, эти агенты используют фиктивные личности, сторонних агентов и возможности удаленной занятости. В одном известном случае 14 граждан Северной Кореи были обвинены в краже 88 миллионов долларов с использованием таких методов. Чтобы остановить такие нарушения, эти стратегии подчеркивают необходимость строгой проверки персонала и надежных процедур кибербезопасности.
В первой половине 2024 года наблюдался резкий рост северокорейской киберактивности, но после июля она существенно снизилась. Геополитическое событие — саммит между северокорейским лидером Ким Чен Ыном и президентом России Владимиром Путиным — совпало с этим снижением. Хакерская активность Северной Кореи, похоже, изменилась после встречи, о чем свидетельствует снижение ежедневной суммы украденных денег на 53,73%. Однако в тот же период времени наблюдался скромный рост хакерской активности не северокорейцев.
Фото: Chainanalysis
Причины этого ухудшения пока неизвестны. Возможно, Северная Корея перераспределила средства для поддержки своего военного партнерства с Россией, которое включало отправку баллистических ракет и людей на Украину. С другой стороны, задержка может быть результатом стратегических изменений в киберактивности Пхеньяна.
Исследование случая взлома DMM Bitcoin
Среди важнейших событий 2024 года — утечка DMM Bitcoin на сумму 305 миллионов долларов. Северокорейские хакеры украли 4502,9 биткоинов, воспользовавшись дырами в системе биржи, которые позволяли им получать закрытые ключи без авторизации. После отмывания через сервисы смешивания украденные деньги впоследствии были переведены на платформы, связанные с Huione Group, компанией, связанной с киберпреступностью и базирующейся в Камбодже.
Фото: Chainanalysis
Это нарушение имеет серьезные последствия. С целью завершения трансформации к 2025 году DMM Bitcoin остановила операции и перевела свои активы в SBI VC Trade. Инцидент подчеркивает необходимость упреждающей защиты от подобных атак и катастрофические последствия неадекватных мер безопасности.
Прогностические модели и будущее криптобезопасности
Развитие предиктивных технологий дает надежду в борьбе с кражей криптовалюты. Покупка компании Hexagate, занимающейся безопасностью Web3, компанией Chainalysis — большой шаг в направлении упреждающего обнаружения угроз. Анализ активности блокчейна в реальном времени выполняется алгоритмами машинного обучения Hexagate, которые выявляют сомнительные тенденции и возможные атаки до того, как они произойдут.
Например, за два дня до атаки Hexagate обнаружил контракт, связанный с уязвимостью UwU Lend на сумму $20 млн. Ранняя идентификация показывает потенциал таких технологий для предотвращения финансовых потерь, хотя связь с конечной атакой не была сразу очевидна.
Несмотря на эти разработки, эффективность предиктивных моделей зависит от того, насколько хорошо они интегрированы в текущие системы безопасности. Чтобы гарантировать устранение таких опасностей до того, как они станут более серьезными, протоколы должны быть оснащены инструментами, необходимыми для реагирования на ранние оповещения.
Всплеск криптокраж в 2024 году подчеркивает, насколько срочно необходимы улучшенные меры безопасности. Для решения проблемы меняющегося ландшафта угроз требуется совместная стратегия, объединяющая регулирующие органы, правоохранительные органы и игроков отрасли. Тщательный план безопасности должен включать надежное управление закрытыми ключами, сложные возможности отслеживания и мониторинг в реальном времени.
Публикация «Взрывной рост краж криптовалют в 2024 году с Северной Кореей во главе» впервые появилась на Metaverse Post.
