Оригінальна назва: $2,2 мільярда вкрадено з криптоплатформ у 2024 році, але обсяги злому залишаються стабільними наприкінці року, оскільки DPRK знижує активність після липня
Оригінальний автор: Chainalysis
Оригінальний переклад: Тао Чжу, Золота економіка
Переклад: Люк, Марс економіка
Атаки хакерів на криптовалюту залишаються постійною загрозою, протягом чотирьох років з останніх десяти було вкрадено криптовалюти на суму понад 1 мільярд доларів (2018, 2021, 2022 та 2023). 2024 рік стане п'ятим роком, коли буде досягнуто цього тривожного рубежу, підкреслюючи, що з ростом використання криптовалют та зростанням цін також збільшується потенційна сума, яку можна вкрасти.
У 2024 році обсяги вкрадених коштів зросли на приблизно 21,07%, досягнувши 2,2 мільярда доларів, при цьому кількість індивідуальних хакерських інцидентів зросла з 282 у 2023 році до 303 у 2024 році.
Цікаво, що інтенсивність атак хакерів на криптовалюту змінилася приблизно в першій половині цього року. У нашому оновленні злочинності за півріччя ми зауважили, що накопичена вартість вкрадених коштів у період з січня 2024 року по липень 2024 року вже досягла 1,58 мільярда доларів, що на приблизно 84,4% перевищує вкрадену вартість у цей же період 2023 року. Як видно з графіку нижче, до кінця липня екосистема могла знову стати на правильний шлях, і цей рік може зрівнятися з 3 мільярдами доларів у 2021 та 2022 роках. Проте зростання крадіжок криптовалюти в 2024 році значно сповільнилося після липня, а потім залишалося відносно стабільним. Пізніше ми розглянемо потенційні геополітичні причини цієї зміни.
Що стосується суми, вкраденої за типом платформи жертв, то в 2024 році також з'явилися цікаві моделі. Протягом більшості кварталів з 2021 по 2023 роки децентралізовані фінансові (DeFi) платформи були основними цілями для хакерів криптовалюти. Платформи DeFi можуть бути більш вразливими до атак, оскільки їхні розробники, як правило, віддають перевагу швидкому зростанню та виходу продуктів на ринок, а не впровадженню заходів безпеки, що робить їх основними цілями для хакерів.
Хоча в першому кварталі 2024 року DeFi все ще займає найбільшу частку вкрадених активів, централізовані сервіси стали найпоширенішими цілями в другому та третьому кварталах. До деяких найбільш відомих атак на централізовані сервіси належать DMM Bitcoin (травень 2024 року; 305 мільйонів доларів) та WazirX (липень 2024 року; 234,9 мільйонів доларів).
Цей перехід від DeFi до централізованих сервісів підкреслює зростаючу важливість безпекових механізмів, що часто використовуються хакерами (наприклад, приватних ключів). У 2024 році витік приватних ключів становив найбільшу частку серед викрадених криптовалют, досягнувши 43,8%. Для централізованих сервісів забезпечення безпеки приватних ключів є життєво важливим, оскільки вони контролюють доступ до активів користувачів. Враховуючи, що централізовані біржі управляють великими коштами користувачів, наслідки витоку приватних ключів можуть бути катастрофічними; достатньо лише поглянути на хакерську атаку на DMM Bitcoin вартістю 305 мільйонів доларів, яка є однією з найбільших вразливостей у криптовалютному світі, що сталася, можливо, через погане управління приватними ключами або відсутність достатньої безпеки.
Після витоку приватних ключів зловмисники зазвичай відмивають вкрадені кошти через децентралізовані біржі (DEX), сервіси майнінгу або змішування, що ускладнює відстеження транзакцій. До 2024 року ми можемо побачити, що відмивання коштів зловмисниками, які отримали доступ до приватних ключів, суттєво відрізняється від відмивання коштів зловмисниками, які використовують інші засоби атаки. Наприклад, після викрадення приватних ключів ці зловмисники часто звертаються до мостів і змішувальних сервісів. Для інших засобів атаки децентралізовані біржі частіше використовуються для відмивання коштів.
У 2024 році хакери з Північної Кореї викрадуть більше коштів з криптоплатформ, ніж будь-коли раніше.
Хакери, пов'язані з Північною Кореєю, відомі своїми складними та безжальними методами, часто використовуючи просунуте шкідливе програмне забезпечення, соціальну інженерію та крадіжку криптовалют для фінансування державних акцій та обходу міжнародних санкцій. Оцінки американських і міжнародних чиновників вказують на те, що Пхеньян використовує вкрадені криптовалюти для фінансування своїх програм масового знищення та балістичних ракет, що ставить під загрозу міжнародну безпеку. До 2023 року хакери, пов'язані з Північною Кореєю, вкрали приблизно 660,5 мільйона доларів у 20 інцидентах; до 2024 року ця сума зросла до 1,34 мільярда доларів у 47 інцидентах, що становить приріст викраденої вартості на 102,88%. Ці цифри становлять 61% від загальної суми викрадених коштів того року та 20% від загальної кількості інцидентів.
Зверніть увагу, що в минулорічному звіті ми повідомляли про те, що Північна Корея вкрала 1 мільярд доларів через 20 хакерських атак. Після подальшого розслідування ми виявили, що деякі з великих хакерських атак, раніше приписуваних Північній Кореї, можуть більше не бути актуальними, тож сума зменшилася до 660,5 мільйона доларів. Проте кількість інцидентів залишилася незмінною, оскільки ми виявили інші менші хакерські атаки, які можна віднести до Північної Кореї. Коли ми отримуємо нові докази на ланцюзі та поза ним, наша мета – постійно переоцінювати нашу оцінку хакерських інцидентів, пов'язаних з Північною Кореєю.
На жаль, атаки Північної Кореї на криптовалюту, здається, стають дедалі частішими. На нижчому графіку ми перевіряємо середній час між успішними атаками DPRK, виходячи з масштабів експлуатації, і виявляємо, що атаки різного масштабу знизилися в річному вимірі. Варто зазначити, що в 2024 році частота атак вартістю від 50 до 100 мільйонів доларів та понад 100 мільйонів доларів була значно вищою, ніж у 2023 році, що вказує на те, що Північна Корея стає дедалі більш ефективною у масштабних атаках. Це контрастує з попередніми двома роками, коли прибуток від кожної атаки часто становив менше 50 мільйонів доларів.
Порівнюючи діяльність Північної Кореї з усіма іншими хакерськими атаками, які ми моніторимо, очевидно, що Північна Корея несе відповідальність за більшість масштабних атак за останні три роки. Цікаво, що суми, пов'язані з хакерськими атаками Північної Кореї, є нижчими, особливо зростає щільність атак на суми близько 10 000 доларів.
Деякі з цих інцидентів, здається, пов'язані з IT-фахівцями Північної Кореї, які дедалі більше проникають в компанії, що займаються криптовалютами та Web3, підриваючи їхні мережі, операції та цілісність. Ці працівники часто використовують складні стратегії, техніки та процедури (TTP), такі як фальшиві особи, найм третіх сторін в якості рекрутерів та маніпулювання можливостями віддаленої роботи для отримання доступу. У нещодавньому випадку Міністерство юстиції США у середу звинуватило 14 громадян Північної Кореї, які працювали віддалено в США. Компанії заробили понад 88 мільйонів доларів, крадучи конфіденційну інформацію та шантажуючи роботодавців.
Щоб зменшити ці ризики, компанії повинні надавати пріоритет ретельній перевірці найму — включаючи перевірку даних та ідентифікацію — при цьому підтримуючи надійну безпеку приватних ключів для захисту критичних активів (якщо це доречно).
Попри всі ці тенденції, які свідчать про активність Північної Кореї цього року, більшість атак відбулася на початку року, а загальна активність хакерів сповільнилася в третьому та четвертому кварталах, як показано на попередніх графіках.
У середині червня 2024 року президент Росії Володимир Путін і лідер Північної Кореї Кім Чен Ин також проведуть саміт у Пхеньяні, щоб підписати угоду про спільну оборону. На сьогоднішній день Росія звільнила кілька мільйонів доларів активів Північної Кореї, що раніше були заморожені в рамках санкцій Ради Безпеки ООН, що свідчить про постійний розвиток альянсу між двома країнами. Тим часом Північна Корея розмістила війська в Україні, надала Росії балістичні ракети та, як повідомляється, звернулася до Москви з проханням про сучасні технології в галузі космосу, ракет і підводних човнів.
Якщо порівняти середньодобові збитки від вразливостей DPRK до і після 1 липня 2024 року, ми можемо побачити значне зниження вкраденої вартості. Як показано на графіку нижче, після цього обсяги вкрадених коштів Північної Кореї зменшилися приблизно на 53,73%, тоді як обсяги вкрадених коштів з інших джерел зросли на приблизно 5%. Таким чином, окрім перенаправлення військових ресурсів на конфлікт в Україні, Північна Корея, яка останніми роками значно посилила співпрацю з Росією, також, можливо, змінила свою кіберзлочинну діяльність.
Зниження суми вкрадених коштів Північною Кореєю після 1 липня 2024 року є очевидним, а також зрозумілим, але варто відзначити, що це зниження не обов'язково пов'язане з візитом Путіна до Пхеньяна. Крім того, деякі події, що сталися в грудні, можуть змінити цю тенденцію наприкінці року, адже зловмисники часто здійснюють атаки під час свят.
Кейс: атака Північної Кореї на DMM Bitcoin
Відомим прикладом хакерської атаки, пов'язаної з Північною Кореєю, є хакерська атака на японську криптовалютну біржу DMM Bitcoin, яка постраждала від зламу, в результаті якого було втрачено близько 4 502,9 біткойнів, що на той момент становило 305 мільйонів доларів. Зловмисники скористалися вразливостями в інфраструктурі, використовуваній DMM, що призвело до несанкціонованих виведень коштів. У відповідь DMM, за підтримки групи компаній, знайшла еквівалентні кошти для повного покриття депозитів клієнтів.
Ми змогли проаналізувати рух коштів на ланцюзі після початкової атаки, і на першій стадії ми бачимо, як зловмисники переводять криптовалюту вартістю кілька мільйонів доларів з DMM Bitcoin на кілька проміжних адрес, а потім вони досягають змішувального сервера Bitcoin CoinJoin.
Після успішного змішування вкрадених коштів за допомогою сервісу CoinJoin на базі біткойнів, зловмисники перевели частину коштів через кілька сервісів мостів на Huioneguarantee, онлайн-ринок, пов'язаний з бізнес-групою Huione Group з Камбоджі, яка є важливим учасником в цій сфері, що полегшує кіберзлочинність.
DMM Bitcoin перевела свої активи та клієнтські рахунки до дочірньої компанії японської фінансової групи SBI Group під назвою SBI VC Trade, перехід планується завершити в березні 2025 року. На щастя, нові інструменти та прогностичні технології з'являються на горизонті, і ми обговоримо їх у наступному розділі, щоб підготуватися до запобігання таким руйнівним хакерським атакам.
Використання прогнозних моделей для запобігання хакерським атакам
Сучасні прогностичні технології, які виявляють потенційні ризики та загрози в реальному часі, змінюють кібербезпеку, пропонуючи проактивний підхід для захисту цифрових екосистем. Давайте розглянемо нижчий приклад, пов'язаний з децентралізованим постачальником ліквідності UwU Lend.
10 червня 2024 року зловмисники, маніпулюючи системою цінових оракулів UwU Lend, отримали близько 20 мільйонів доларів. Зловмисники здійснили атаку з використанням блискавичних кредитів, щоб змінити ціну Ethena Staked USDe (sUSDe) на кількох оракулах, що призвело до неправильного оцінювання. Таким чином, зловмисники змогли позичити мільйони доларів за сім хвилин. Hexagate виявив атакуючий контракт і його подібні розгортання приблизно за два дні до експлуатації вразливості.
Хоча атакуючий контракт був точно виявлений у реальному часі за два дні до експлуатації вразливості, його зв'язок з експлуатованим контрактом не став очевидним через причини проектування. Використовуючи інші інструменти, такі як безпечний оракул Hexagate, можна ще більше використовувати таке раннє виявлення для пом'якшення загроз. Варто зазначити, що перша атака, що призвела до збитків у 8,2 мільйона доларів, сталася за кілька хвилин до наступної атаки, що надало ще один важливий сигнал.
Попереджувальні сигнали, видані перед великими атаками на ланцюзі, можуть змінити безпеку учасників ринку, дозволяючи їм повністю запобігти дорогим хакерським атакам, а не реагувати на них.
На нижчому графіку ми бачимо, як зловмисники перевели вкрадені кошти через два проміжні адреси перед тим, як кошти досягли змішувача Ethereum, схваленого OFAC, Tornado Cash.
Однак варто зазначити, що доступ до цих прогнозних моделей не може гарантувати запобігання хакерським атакам, оскільки протоколи можуть не завжди мати належні інструменти для ефективних дій.
Потрібна більш потужна криптобезпека
Збільшення кількості викрадених криптовалют у 2024 році підкреслює потребу галузі впоратися з дедалі складнішими та змінюваними загрозами. Хоча обсяги крадіжки криптовалют ще не відновилися до рівнів 2021 та 2022 років, вищезазначене відродження підкреслює прогалини в існуючих заходах безпеки та важливість адаптації до нових методів експлуатації. Для ефективного реагування на ці виклики співпраця між державним та приватним секторами є життєво важливою. Програми обміну даними, рішення для безпеки в реальному часі, просунуті інструменти для відстеження та цілеспрямоване навчання можуть дозволити зацікавленим сторонам швидко виявляти та ліквідувати зловмисників, одночасно створюючи стійкість, необхідну для захисту криптоактивів.
Крім того, з розвитком регуляторних рамок для криптовалют перевірка безпеки платформ та захист активів клієнтів може посилитися. Галузеві найкращі практики повинні йти в ногу з цими змінами, щоб забезпечити запобігання та підзвітність. Налагодивши тісніші партнерські стосунки з органами правопорядку та забезпечивши командам ресурси та експертизу для швидкого реагування, криптовалютна галузь зможе посилити свої можливості протидії крадіжкам. Ці зусилля є критично важливими не лише для захисту особистих активів, а й для створення довгострокової довіри та стабільності в цифровій екосистемі.