Джерело: Chainalysis; Переклад: Тао Чжу, Золотий фінансовий звіт

Хакерські атаки на криптовалюту залишаються постійною загрозою, протягом чотирьох років з останніх десяти було вкрадено криптовалюту на суму понад 1 мільярд доларів (2018, 2021, 2022 та 2023 роки). 2024 рік стане п'ятим роком, коли досягнуто цього тривожного рубежу, підкреслюючи, що з ростом використання та ціни криптовалюти зростає і сума, яку можна вкрасти.

У 2024 році викрадені кошти зросли приблизно на 21,07%, досягнувши 2,2 мільярда доларів, а кількість індивідуальних хакерських інцидентів зросла з 282 у 2023 році до 303 у 2024 році.

minJ6AdbAzIr93rtphMGqfnqFH86fvC2kCYLrsn4.jpegЦікаво, що інтенсивність хакерських атак на криптовалюти змінилася приблизно в першій половині цього року. У нашому звіті про злочинність за півріччя ми відзначили, що накопичена вартість викрадених коштів зросла до 1,58 мільярда доларів з 2024 року по 2024 рік, що приблизно на 84,4% більше, ніж у тому ж періоді 2023 року. Як ми бачимо на нижчій діаграмі, до кінця липня екосистема може легко повернутися на правильний шлях, і цей рік може порівнятися з 30 мільярдами доларів у 2021 і 2022 роках. Проте тенденція зростання крадіжок криптовалют у 2024 році помітно сповільнилася після липня й залишалася відносно стабільною. Пізніше ми розглянемо потенційні геополітичні причини цієї зміни.

m3V7NqXp1UDZ6WkHp9QAZKYrHSDP5A5vYpEtnXY8.jpeg

У 2024 році також спостерігається цікава модель, якщо розділити викрадені кошти за типом платформи жертви. У більшості кварталів з 2021 по 2023 рік децентралізовані фінансові (DeFi) платформи були основними цілями для криптовалютних хакерів. Платформи DeFi можуть бути більш вразливими до атак, оскільки їхні розробники, як правило, віддають перевагу швидкому зростанню та виведенню продуктів на ринок, а не впровадженню заходів безпеки, що робить їх основними цілями для хакерів.

Хоча в першому кварталі 2024 року DeFi все ще становило найбільшу частку викрадених активів, централізовані сервіси стали найбільш цілеспрямованими у другому та третьому кварталах. Деякі з найвідоміших хакерських атак на централізовані сервіси включають DMM Bitcoin (травень 2024 року; 305 мільйонів доларів) та WazirX (липень 2024 року; 234,9 мільйона доларів).

UnPkZQOqMsaIPIdikcioDAPDZh6wGxeiiPrNxIbt.jpeg

Цей зсув фокусу від DeFi до централізованих послуг підкреслює зростаючу важливість безпекових механізмів (наприклад, приватних ключів), які часто використовуються хакерами. У 2024 році витоки приватних ключів складуть найбільшу частку викрадених криптовалют, досягнувши 43,8%. Для централізованих сервісів критично важливо забезпечити безпеку приватних ключів, оскільки вони контролюють доступ до активів користувачів. Оскільки централізовані біржі управляють великими обсягами коштів користувачів, наслідки витоку приватних ключів можуть бути руйнівними; достатньо згадати про хакерську атаку на DMM Bitcoin на 305 мільйонів доларів, яка є однією з найбільших криптовалютних вразливостей, що, ймовірно, сталася через неналежне управління приватними ключами або недостатні заходи безпеки.

fQW0bbhcN6KcIiLeq9ytIC4gRRgKKXzX0njBC99k.jpeg

Після витоку приватних ключів зловмисники зазвичай відмивають викрадені кошти через децентралізовані біржі (DEX), майнінгові сервіси або мікс-сервіси, ускладнюючи відстеження транзакцій. До 2024 року ми можемо спостерігати значні відмінності між відмиванням грошей зловмисниками, які вкрали приватні ключі, і тими, хто використовує інші атаки. Наприклад, після викрадення приватного ключа ці хакери часто звертаються до мостових і мікс-сервісів. Для інших атакуючих медіа децентралізовані біржі частіше використовуються для відмивання грошей.

3Wuj4og3n1ht93TESVzy9ouLFuzwJJXMLVN8axQQ.jpeg

У 2024 році сума, викрадена хакерами КНДР з криптоплатформ, буде більшою, ніж будь-коли раніше.

Хакери, пов'язані з КНДР, відомі своїми складними та безжальними методами, які вони часто використовують, щоб фінансувати державні операції та обходити міжнародні санкції за допомогою передового шкідливого ПЗ, соціальної інженерії та крадіжки криптовалют. Сполучені Штати та міжнародні чиновники оцінюють, що Пхеньян використовує вкрадені криптовалюти для фінансування своїх програм з масового знищення та балістичних ракет, що загрожує міжнародній безпеці. До 2023 року хакери, пов'язані з КНДР, вкрали близько 660,5 мільйона доларів через 20 інцидентів; до 2024 року ця цифра зросла до 1,34 мільярда доларів у 47 інцидентах, вартість викраденого зросла на 102,88%. Ці цифри складають 61% від загальної суми, викраденої протягом року, та 20% від загальної кількості інцидентів.

Зверніть увагу, що в минулорічному звіті ми заявили, що КНДР вкрала 1 мільярд доларів через 20 хакерських атак. Після подальшого розслідування ми встановили, що деякі з великих хакерських атак, раніше приписуваних КНДР, можуть більше не бути актуальними, тому кількість зменшилася до 660,5 мільйона доларів. Однак кількість інцидентів залишилася незмінною, оскільки ми виявили інші менші хакерські атаки, які були приписані КНДР. Коли ми отримаємо нові докази на блокчейні та поза ним, наша мета — постійно переоцінювати наші оцінки інцидентів хакерських атак, пов'язаних з КНДР.

6PwlHopjIh3YQGfHDiYFxa3Lwi6LHwocT4PPyJdd.jpeg

На жаль, атаки КНДР на криптовалюту, здається, стають все частішими. На наступному малюнку ми перевіряємо середній час між успішними атаками КНДР, виходячи з масштабу експлуатації вразливостей, виявляючи, що частота атак різних масштабів знизилася в річному обчисленні. Варто зазначити, що в 2024 році частота атак на 50 до 100 мільйонів доларів і понад 100 мільйонів доларів була набагато вищою, ніж у 2023 році, що свідчить про те, що КНДР все краще і швидше виконувала великомасштабні атаки. Це контрастує з попередніми двома роками, коли їхні прибутки часто були нижчими за 50 мільйонів доларів.

M9NrVEr7Bmr9lBpkmS9bHlVwo0OsSsiBhOMr27Ot.jpeg

Коли ми порівнюємо діяльність КНДР з усіма іншими хакерськими активностями, які ми відстежуємо, стає очевидним, що КНДР протягом останніх трьох років несе відповідальність за більшість великих атак. Цікаво, що суми атак КНДР є нижчими, особливо щільність атак, що становлять приблизно 10 тисяч доларів, також постійно зростає.

Fy4FnCPPLvZIwBxpte6H7w60l19dPMcAo76QwyjU.jpeg

Деякі з цих подій, здається, пов'язані з працівниками ІТ КНДР, які все частіше проникають у криптовалютні та Web3 компанії, підриваючи їхні мережі, операції та цілісність. Ці співробітники часто використовують складні стратегії, технології та процедури (TTP), такі як фальшиві особи, найм третьох сторонніх рекрутерів та маніпуляція можливостями дистанційної роботи для отримання доступу. У нещодавньому випадку Міністерство юстиції США (DOJ) у середу висунуло звинувачення проти 14 громадян КНДР, які працювали віддалено в США. Компанії заробили понад 88 мільйонів доларів, крадучи конфіденційну інформацію та шантажуючи роботодавців.

Щоб зменшити ці ризики, компанії повинні пріоритетно ставити ретельну перевірку найму, включаючи перевірки фону та ідентифікації, при цьому зберігаючи надійну безпеку приватних ключів для захисту ключових активів (якщо це доречно).

Хоча всі ці тенденції вказують на те, що КНДР була дуже активною в цьому році, більшість її атак відбувалася на початку року, а загальна активність хакерів сповільнилася в третьому та четвертому кварталах, як показано на попередніх графіках.

dkZ8DjiPY3AoRpHMD20RuYBMZZAkNT5cPuzoHrT7.jpeg

У червні 2024 року російський президент Володимир Путін і лідер КНДР Кім Чен Ин також зустрінуться в Пхеньяні, щоб підписати угоду про спільну оборону. До цього часу Росія звільнила раніше заморожені активи КНДР на кілька мільйонів доларів відповідно до санкцій Ради безпеки ООН, що свідчить про постійний розвиток альянсу між двома країнами. Тим часом КНДР розгорнула війська в Україні, постачаючи Росії балістичні ракети та, як повідомляється, також шукаючи у Москви передові технології в галузі космосу, ракет і підводних човнів.

Якщо ми порівняємо середні щоденні втрати від витоків КНДР до і після 1 липня 2024 року, ми можемо побачити значне зниження вартості викрадених коштів. Як показано на наступному малюнку, після цього сума, викрадена КНДР, знизилася приблизно на 53,73%, тоді як сума, викрадена не з КНДР, зросла приблизно на 5%. Таким чином, окрім перенесення військових ресурсів на конфлікт в Україні, Північна Корея, яка в останні роки значно посилила співпрацю з Росією, також може змінити свою кіберзлочинну діяльність.

LhryntjNb2L3byMCN0jxOVm6GzJ4D6C0ud1PgkMF.jpeg

Зниження викрадення коштів КНДР після 1 липня 2024 року є очевидним, а час також є очевидним, але варто зазначити, що це зниження не обов'язково пов'язане з візитом Путіна до Пхеньяна. Крім того, деякі події, що сталися в грудні, можуть змінити цю тенденцію в кінці року, і атакуючі часто здійснюють атаки під час свят.

Випадок: атака КНДР на DMM Bitcoin

Відомим прикладом хакерської атаки, пов'язаної з КНДР у 2024 році, є атака на японську криптовалютну біржу DMM Bitcoin, яка зазнала хакерської атаки, що призвела до втрати приблизно 4502,9 біткоїнів, що в той час становило 305 мільйонів доларів. Атакувальники скористалися вразливістю в інфраструктурі, що використовувалася DMM, що призвело до несанкціонованих виведень. У відповідь DMM, за підтримки компанії групи, знайшла еквівалентні кошти для повної компенсації депозитів клієнтів.

Ми змогли проаналізувати грошові потоки на блокчейні після початкової атаки. На першій стадії ми бачимо, як атакуючі перевели криптовалюту вартістю мільйони доларів з DMM Bitcoin на кілька проміжних адрес, а потім в Bitcoin CoinJoin мікс-сервер.

n2SmBjbuTWsyz5OKWVX3Dh9q8Hrw7Qgb2fNvAAl9.jpeg

Успішно змішавши викрадені кошти, атакуючі перевели частину коштів через кілька мостових сервісів на Huioneguarantee, онлайн-ринок, пов'язаний з камбоджійською бізнес-групою Huione Group, яка є важливим гравцем у цій сфері, що сприяє кіберзлочинності.

3DDOS2tjEDyWcYzmLPR27S4Sc016YRx1gd8yQ4Vf.jpeg

DMM Bitcoin переніс свої активи та рахунки клієнтів до дочірньої компанії японської фінансової групи SBI Group SBI VC Trade, перехід заплановано на завершення в березні 2025 року. На щастя, нові інструменти та прогнозні технології набирають популярності, і ми розглянемо їх у наступному розділі, щоб підготуватися до запобігання подібним руйнівним хакерським атакам.

Використання прогнозних моделей для запобігання хакерським атакам

Передові прогнозні технології змінюють кібербезпеку, виявляючи потенційні ризики та загрози в режимі реального часу, пропонуючи проактивний підхід до захисту цифрової екосистеми. Давайте розглянемо наступний приклад, який стосується децентралізованого постачальника ліквідності UwU Lend.

10 червня 2024 року атакуючі отримали приблизно 20 мільйонів доларів, маніпулюючи системою цінового оракула UwU Lend. Атакуючі ініціювали атаку з миттєвими кредитами, щоб змінити ціну Ethena Staked USDe (sUSDe) на кількох оракулах, що призвело до некоректної оцінки. Таким чином, атакуючі змогли позичити мільйони доларів за сім хвилин. Hexagate виявив атакуючий контракт та його подібні розгортання приблизно за два дні до експлуатації вразливості.

Хоча атакуючий контракт був точно виявлений в реальному часі за два дні до експлуатації, його зв'язок з експлуатованим контрактом не був одразу очевидний через його конструктивні особливості. Використовуючи такі інструменти, як безпечний оракул Hexagate, можна ще більше використовувати це раннє виявлення для пом'якшення загрози. Варто зазначити, що перша атака, що призвела до втрати 8,2 мільйона доларів, відбулася за кілька хвилин до наступної атаки, що є ще одним важливим сигналом.

Такі попередження, видані перед великими атаками на блокчейн, мають потенціал змінити безпеку учасників індустрії, дозволяючи їм повністю запобігти витратним хакерським атакам, а не реагувати на них.

59DXjYwczvFvXvVbujglt57Jg7tpCGPTmkXHQ6XZ.jpeg

На наступному малюнку ми бачимо, що атакуючі перевели викрадені кошти через два проміжні адреси, перш ніж вони досягли змішувача Ethereum, схваленого OFAC, Tornado Cash.

bULNHgVtsnh9uSSULtVyPgyjRSToijouh5CGtYCg.jpeg

Однак варто зазначити, що простий доступ до цих прогнозних моделей не гарантує запобігання хакерським атакам, оскільки протоколи можуть не завжди мати відповідні інструменти для дій.

Потрібна сильніша криптографічна безпека

Зростання викрадених криптовалют у 2024 році підкреслює потребу галузі в реагуванні на зростаючі та змінювані загрози. Хоча масштаби крадіжки криптовалют ще не відновилися до рівня 2021 і 2022 років, вище наведене відродження підкреслює прогалини в існуючих заходах безпеки та важливість адаптації до нових методів експлуатації. Щоб ефективно протистояти цим викликам, співпраця між державним та приватним секторами є критично важливою. Програми обміну даними, рішення для забезпечення безпеки в режимі реального часу, передові інструменти відстеження та цілеспрямоване навчання можуть дати можливість зацікавленим сторонам швидко ідентифікувати та знищувати зловмисників, одночасно створюючи необхідну стійкість для захисту криптоактивів.

Крім того, з розвитком регуляторної рамки для криптовалют посилення контролю за безпекою платформ і захистом активів клієнтів може бути посилене. Найкращі практики галузі повинні відповідати цим змінам, щоб забезпечити запобігання та підзвітність. Співпрацюючи з правоохоронними органами та надаючи командам ресурси та експертизу для швидкої реакції, криптовалютна індустрія може посилити свої можливості захисту від крадіжок. Ці зусилля є критично важливими не лише для захисту особистих активів, але й для встановлення довгострокової довіри та стабільності в цифровій екосистемі.