Подробнее: В 2024 году с криптоплатформ было украдено 2,2 млрд долларов, но объемы взлома стагнируют к концу года, поскольку КНДР замедляет активность после июля
Автор оригинала: Chainaанализ
Оригинальный сборник: Тао Чжу, Golden Finance
Перепечатка: Люк, Mars Finance
Взломы криптовалют остаются постоянной угрозой: за четыре из последних десяти лет (2018, 2021, 2022 и 2023 годы) было украдено криптовалют на сумму более 1 миллиарда долларов. 2024 год знаменует собой пятый год с момента достижения этой тревожной вехи, подчеркивая, что по мере распространения криптовалюты и роста цен растет и сумма, которую можно украсть.
В 2024 году украденные средства выросли примерно на 21,07% в годовом исчислении до $2,2 млрд, а количество отдельных инцидентов взлома выросло с 282 в 2023 году до 303 в 2024 году.
Интересно, что интенсивность взломов криптовалют изменилась примерно в первой половине этого года. В нашем обзоре преступности за полугодие мы отметили, что совокупная стоимость украденных в период с января по июль 2024 года достигла 1,58 миллиарда долларов, что примерно на 84,4 процента выше, чем стоимость, украденная за тот же период в 2023 году. Как мы можем видеть на графике ниже, к концу июля экосистема легко пойдет по правильному пути, и этот год составит конкуренцию 2021 и 2022 годам с доходом в 3 миллиарда долларов с лишним. Однако тенденция к росту краж криптовалют в 2024 году значительно замедлилась после июля и с тех пор остается относительно стабильной. Позже мы рассмотрим потенциальные геополитические причины этого изменения.
В 2024 году также выявились интересные закономерности в отношении суммы, украденной по типу платформы жертвы. В течение большинства кварталов с 2021 по 2023 год платформы децентрализованного финансирования (DeFi) были основной целью хакеров криптовалюты. Платформы DeFi могут быть более уязвимы для атак, поскольку их разработчики склонны отдавать приоритет быстрому росту и выводу продуктов на рынок, а не внедрению мер безопасности, что делает их главной мишенью для хакеров.
Хотя на долю DeFi по-прежнему приходилась наибольшая доля украденных активов в первом квартале 2024 года, централизованные услуги стали наиболее объектом нападения во втором и третьем кварталах. Некоторые из наиболее заметных хаков централизованных сервисов включают DMM Bitcoin (май 2024 г.; 305 млн долларов США) и WazirX (июль 2024 г.; 234,9 млн долларов США).
Этот сдвиг акцента с DeFi на централизованные услуги подчеркивает растущую важность механизмов безопасности, обычно используемых хакерами, таких как закрытые ключи. В 2024 году на компрометацию закрытых ключей пришлась наибольшая доля украденных криптовалют — 43,8%. Для централизованных сервисов обеспечение безопасности закрытых ключей имеет решающее значение, поскольку они контролируют доступ к пользовательским ресурсам. Учитывая огромные объемы пользовательских средств, управляемых централизованными биржами, последствия утечки закрытого ключа могут быть разрушительными, нам достаточно взглянуть на взлом Биткойна DMM стоимостью 305 миллионов долларов, одно из крупнейших нарушений криптовалюты на сегодняшний день, которое, возможно, происходит из-за плохой конфиденциальности; управление ключами или отсутствие адекватной безопасности.
После утечки закрытых ключей злоумышленники часто отмывают украденные средства через децентрализованные биржи (DEX), службы майнинга или службы микширования, запутывая транзакционные цепочки и усложняя отслеживание. К 2024 году мы увидим, что отмывание денег хакерами с закрытыми ключами существенно отличается от отмывания денег хакерами, использующими другие векторы атак. Например, после кражи закрытых ключей эти хакеры часто обращаются к мостовым и гибридным сервисам. Среди других векторов атак децентрализованные биржи чаще используются для отмывания денег.
Северокорейские хакеры в 2024 году будут воровать с криптоплатформ больше, чем когда-либо прежде
Хакеры, связанные с Северной Кореей, печально известны своей изощренной и безжалостной тактикой, часто использующей современные вредоносные программы, социальную инженерию и кражу криптовалюты для финансирования операций, спонсируемых государством, и обхода международных санкций. По оценкам американских и международных чиновников, Пхеньян использует украденную криптовалюту для финансирования своих программ создания оружия массового уничтожения и баллистических ракет, что ставит под угрозу международную безопасность. К 2023 году хакеры, связанные с Северной Кореей, украдут около 660,5 миллиона долларов в результате 20 инцидентов. К 2024 году это число увеличится до 1,34 миллиарда долларов в результате 47 инцидентов, что увеличит стоимость украденного на 102,88%. На эти цифры пришлось 61% от общей суммы украденных в том году и 20% от общего числа происшествий.
Отметим, что в прошлогоднем отчете мы опубликовали информацию о том, что Северная Корея украла 1 миллиард долларов посредством 20 хакерских атак. После дальнейшего расследования мы установили, что некоторые крупные хакерские атаки, ранее приписываемые Северной Корее, могут больше не иметь значения, поэтому сумма была уменьшена до 660,5 миллионов долларов. Однако количество инцидентов осталось прежним, поскольку мы обнаружили другие более мелкие взломы, приписываемые Северной Корее. Наша цель — постоянно переоценивать нашу оценку хакерских инцидентов, связанных с Северной Кореей, по мере получения новых доказательств внутри и снаружи сети.
К сожалению, криптовалютные атаки Северной Кореи, похоже, становятся все более частыми. На диаграмме ниже мы изучили среднее время между успешными атаками в КНДР в зависимости от размера эксплойта и обнаружили, что атаки всех размеров сокращались из года в год. Примечательно, что атаки стоимостью от 50 до 100 миллионов долларов и более 100 миллионов долларов будут происходить гораздо чаще в 2024 году, чем в 2023 году, что позволяет предположить, что Северная Корея становится лучше и быстрее в проведении крупномасштабных атак. Это резко контрастирует с предыдущими двумя годами, когда прибыль, как правило, составляла менее 50 миллионов долларов каждый.
Если сравнить деятельность Северной Кореи со всеми другими хакерскими кампаниями, которые мы отслеживаем, становится ясно, что Северная Корея несет ответственность за большинство крупномасштабных атак за последние три года. Интересно, что северокорейские хаки стоят меньше, особенно около 10 000 долларов, а плотность хаков увеличивается.
Некоторые из этих инцидентов, по-видимому, связаны с северокорейскими ИТ-специалистами, которые все чаще проникают в криптовалютные и Web3-компании, ставя под угрозу их сети, операции и целостность. Эти сотрудники часто используют сложные тактики, методы и процедуры (TTP), такие как вымышленные личности, найм сторонних кадровых агентств и манипулирование возможностями удаленной работы для получения доступа. В последнем случае Министерство юстиции США (DOJ) в среду предъявило обвинения 14 гражданам Северной Кореи, работающим удаленно ИТ-специалистами в Соединенных Штатах. Компании заработали более 88 миллионов долларов на краже конфиденциальной информации и вымогательстве у работодателей.
Чтобы снизить эти риски, компаниям следует уделить приоритетное внимание тщательной комплексной проверке при приеме на работу, включая проверку анкетных данных и проверку личности, сохраняя при этом надежную защиту секретных ключей для защиты критически важных активов, где это применимо.
Хотя все эти тенденции указывают на то, что Северная Корея в этом году была очень активна, большинство ее атак произошло в начале года, а общая хакерская активность застопорилась в третьем и четвертом кварталах, как показано на предыдущем графике.
В конце июня 2024 года президент России Владимир Путин и лидер Северной Кореи Ким Чен Ын также проведут саммит в Пхеньяне, чтобы подписать соглашение о взаимной обороне. В этом году Россия разблокировала ранее замороженные северокорейские активы на миллионы долларов под санкциями Совета Безопасности ООН, что сигнализирует о растущем союзе между двумя странами. Тем временем Северная Корея разместила войска на Украине, поставляла баллистические ракеты в Россию и, как сообщается, запросила у Москвы передовые космические, ракетные и подводные технологии.
Если мы сравним среднесуточные потери от уязвимостей КНДР до и после 1 июля 2024 года, мы увидим значительное снижение суммы украденных ценностей. Как показано на диаграмме ниже, сумма, украденная Северной Кореей, затем снизилась примерно на 53,73%, а сумма, украденная не-Северной Кореей, увеличилась примерно на 5%. Таким образом, помимо перенаправления военных ресурсов на конфликт в Украине, Северная Корея, которая в последние годы значительно расширила сотрудничество с Россией, возможно, также изменила свою киберпреступную деятельность.
Снижение северокорейского воровства после 1 июля 2024 года очевидно, и время ясно, но стоит отметить, что это снижение не обязательно связано с визитом Путина в Пхеньян. Кроме того, некоторые события в декабре могут изменить эту картину в конце года, а злоумышленники часто начинают атаки во время праздников.
Практический пример: атака Северной Кореи на биткойн DMM
Одним из ярких примеров взлома, связанного с Северной Кореей, в 2024 году была японская криптовалютная биржа DMM Bitcoin, которая подверглась взлому, в результате которого было потеряно около 4502,9 биткойнов на сумму 305 миллионов долларов на тот момент. Злоумышленники нацелились на уязвимости в инфраструктуре, используемой DMM, что привело к несанкционированному снятию средств. В ответ DMM при поддержке компаний группы полностью выплатила депозиты клиентов, найдя эквивалентные средства.
Нам удалось проанализировать потоки средств в цепочке после первоначальной атаки, и на первом этапе мы увидели, как злоумышленники переместили криптовалюту на миллионы долларов из DMM Bitcoin на несколько промежуточных адресов, прежде чем в конечном итоге достичь микшерного сервера Bitcoin CoinJoin.
После успешного микширования украденных средств с помощью сервиса микширования Bitcoin CoinJoin злоумышленники перевели часть средств через некоторые промежуточные сервисы на Huioneguarantee, онлайн-торговую площадку, связанную с камбоджийским конгломератом Huione Group, крупным игроком в этой области. Содействие киберпреступности.
DMM Bitcoin передала свои активы и клиентские счета SBI VC Trade, дочерней компании японского финансового конгломерата SBI Group, причем переход должен быть завершен в марте 2025 года. К счастью, новые инструменты и методы прогнозирования, которые мы рассмотрим в следующем разделе, находятся на подъеме, чтобы подготовить вас к предотвращению таких разрушительных взломов.
Остановите хакеров с помощью прогнозных моделей
Передовые технологии прогнозирования меняют кибербезопасность, обнаруживая потенциальные риски и угрозы в режиме реального времени, обеспечивая упреждающий подход к защите цифровых экосистем. Давайте посмотрим на пример ниже с участием децентрализованного поставщика ликвидности UwU Lend.
10 июня 2024 года злоумышленники получили около 20 миллионов долларов США, манипулируя системой ценовых оракулов UwU Lend. Злоумышленник начал атаку с использованием мгновенного кредита, чтобы изменить цену Ethena Staked USDe (sUSDe) на нескольких оракулах, что привело к неверным оценкам. В результате злоумышленник может занять миллионы долларов всего за семь минут. Hexagate обнаружил контракт на атаку и его аналогичное развертывание примерно за два дня до эксплойта.
Хотя атакующий контракт был точно обнаружен в реальном времени за два дня до того, как уязвимость была использована, его связь с эксплуатируемым контрактом не была сразу очевидна из-за его конструкции. Это раннее обнаружение можно дополнительно использовать для смягчения угроз с помощью дополнительных инструментов, таких как оракулы безопасности Hexagate. Примечательно, что первая атака, которая привела к убыткам в размере 8,2 миллиона долларов, произошла за несколько минут до последующих атак, что стало еще одним важным сигналом.
Такие оповещения перед крупными атаками на блокчейн могут изменить безопасность игроков отрасли, позволяя им полностью предотвращать дорогостоящие взломы, а не реагировать на них.
На изображении ниже мы видим, как злоумышленник перевел украденные средства через два промежуточных адреса, прежде чем средства достигли Tornado Cash, микшера смарт-контрактов Ethereum, одобренного OFAC.
Однако стоит отметить, что простой доступ к этим прогнозным моделям не гарантирует защиту от хакеров, поскольку протоколы не всегда могут иметь соответствующие инструменты для эффективного принятия мер.
Необходимость более сильной криптографической безопасности
Рост количества украденных криптовалют в 2024 году подчеркивает необходимость реагирования отрасли на все более сложную и развивающуюся среду угроз. Хотя масштабы кражи криптовалют еще не вернулись к уровням 2021 и 2022 годов, отмеченное выше возрождение подчеркивает пробелы в существующих мерах безопасности и важность адаптации к новым методам эксплуатации. Для эффективного решения этих проблем решающее значение имеет сотрудничество между государственным и частным секторами. Программы обмена данными, решения для обеспечения безопасности в режиме реального времени, расширенные инструменты отслеживания и целевое обучение могут позволить заинтересованным сторонам быстро выявлять и нейтрализовать злоумышленников, одновременно повышая устойчивость, необходимую для защиты криптоактивов.
Кроме того, поскольку нормативно-правовая база для криптовалют продолжает развиваться, вероятно, усилится внимание к безопасности платформы и защите активов клиентов. Передовая практика отрасли должна идти в ногу с этими изменениями, чтобы обеспечить предотвращение и подотчетность. Создавая более прочные партнерские отношения с правоохранительными органами и предоставляя командам ресурсы и опыт для быстрого реагирования, криптовалютная индустрия может усилить свои возможности по предотвращению краж. Эти усилия имеют решающее значение не только для защиты личных активов, но и для построения долгосрочного доверия и стабильности в цифровой экосистеме.
