*Bài viết này đã được dịch tự động. Vui lòng tham khảo văn bản gốc để biết chi tiết chính xác.
Hack tiền điện tử vẫn là một mối đe dọa dai dẳng, với hơn 1 tỷ đô la tài sản tiền điện tử bị đánh cắp trong mỗi 10 năm qua (2018, 2021, 2022 và 2023). Năm 2024 đánh dấu năm thứ năm kể từ khi đạt được cột mốc đáng lo ngại này, nhấn mạnh rằng khi tài sản tiền điện tử ngày càng phổ biến và giá cả thì số tiền bị đánh cắp cũng tăng theo.
Vào năm 2024, số tiền bị đánh cắp sẽ đạt 2,2 tỷ USD, tăng khoảng 21,07% so với năm trước (YoY) và số vụ hack riêng lẻ sẽ tăng từ 282 vụ vào năm 2023 lên 303 vụ vào năm 2024. .
Điều thú vị là cường độ của các vụ hack tiền điện tử đã thay đổi vào giữa năm. TrongBản cập nhật tội phạm giữa năm của chúng tôi , chúng tôi lưu ý rằng hành vi trộm cắp tích lũy từ tháng 1 đến tháng 7 năm 2024 đã lên tới 1,58 tỷ USD, nhiều hơn khoảng 84,4% so với số vụ trộm cắp trong cùng kỳ năm 2023. Như được hiển thị trong biểu đồ bên dưới, vào cuối tháng 7, rất có thể năm sẽ đạt mức hơn 3 tỷ USD của năm 2021 và 2022. Tuy nhiên, xu hướng tăng vào năm 2024 chậm lại đáng kể sau tháng 7 và duy trì tương đối ổn định sau đó. Chúng ta sẽ xem xét kỹ hơn các lý do địa chính trị cho sự thay đổi này sau.
Một mô hình thú vị cũng được quan sát thấy vào năm 2024 khi xem xét số lượng hành vi trộm cắp theo loại nền tảng bị ảnh hưởng. Trong hầu hết các quý từ năm 2021 đến năm 2023, nền tảng tài chính phi tập trung (DeFi) là mục tiêu chính của các vụ hack tiền điện tử. Nền tảng DeFi có thể trở thành mục tiêu dễ bị tấn công và dễ bị tấn công của tin tặc, vì các nhà phát triển có xu hướng ưu tiên tăng trưởng nhanh chóng và đưa sản phẩm ra thị trường cũng như đặt các biện pháp bảo mật lên hàng đầu.
Trong quý đầu tiên của năm 2024, tài chính phi tập trung (DeFi) chiếm phần lớn tài sản bị đánh cắp, trong khi trong quý hai và quý ba, các dịch vụ tập trung là mục tiêu nhiều nhất. Các vụ hack dịch vụ tập trung đáng chú ý nhất bao gồm DMM Bitcoin (tháng 5 năm 2024, 305 triệu USD) và WazirX (tháng 7 năm 2024, 234,9 triệu USD).
Sự chuyển trọng tâm này từ tài chính phi tập trung (DeFi) sang các dịch vụ tập trung làm nổi bật tầm quan trọng ngày càng tăng của các cơ chế thường được khai thác trong hoạt động hack, chẳng hạn như bảo vệ khóa riêng tư. Vào năm 2024, 43,8% tài sản tiền điện tử bị đánh cắp là do xâm phạm khóa riêng tư. Các dịch vụ tập trung kiểm soát quyền truy cập vào tài sản của người dùng, vì vậy việc đảm bảo tính bảo mật của khóa riêng là rất quan trọng. Vì các sàn giao dịch tập trung quản lý một lượng lớn tài sản của người dùng nên tác động của việc vi phạm khóa riêng có thể rất nghiêm trọng. Sự cố trong đó DMM Bitcoin trị giá 305 triệu USD bị hack là một trong những vụ vi phạm tài sản tiền điện tử lớn nhất cho đến nay và cũng có thể do quản lý sai khóa riêng cũng như thiếu các biện pháp bảo mật thích hợp.
Sau khi xâm phạm khóa riêng, các tác nhân độc hại sẽ rửa tiền bị đánh cắp thông qua các sàn giao dịch phi tập trung (DEX), dịch vụ khai thác hoặc dịch vụ trộn để làm xáo trộn dấu vết giao dịch và thường làm phức tạp việc truy tìm. Vào năm 2024, chúng ta sẽ thấy rằng hoạt động rửa tiền của tin tặc đánh cắp khóa riêng sẽ rất khác với hoạt động rửa tiền của tin tặc sử dụng các vectơ tấn công khác. Ví dụ, sau khi đánh cắp khóa riêng, những hacker này thường chuyển sang các dịch vụ bắc cầu và trộn lẫn. Trong số các vectơ tấn công khác, DEX được sử dụng phổ biến hơn để rửa tiền.
Đọc tiếp để tìm hiểu thêm về xu hướng hack tiền điện tử vào năm 2024, hoạt động của Triều Tiên và khả năng của Hexagate trong việc chủ động phát hiện hoạt động hack đáng ngờ bằng cách sử dụng mô hình học máy. Hexagate gần đây đã được Chainalysis mua lại .
Năm 2024, mức thiệt hại do hacker Triều Tiên gây ra cho các sàn giao dịch tài sản tiền điện tử sẽ lớn nhất từ trước đến nay
Các nhóm hacker có liên kết với Triều Tiên nổi tiếng với hoạt động gián điệp tinh vi và dai dẳng, thường xuyên sử dụng phần mềm độc hại phức tạp, kỹ thuật xã hội và đánh cắp tài sản tiền điện tử để tài trợ cho các hoạt động do nhà nước tài trợ và lách các lệnh trừng phạt quốc tế. Chính quyền Hoa Kỳ và quốc tế đánh giá rằng Bình Nhưỡng sử dụng tài sản tiền điện tử bị đánh cắp để tài trợ cho vũ khí hủy diệt hàng loạt và các chương trình tên lửa đạn đạo, đe dọa an ninh quốc tế. Vào năm 2023, các tin tặc liên quan đến Triều Tiên đã đánh cắp khoảng 660,5 triệu USD trong 20 vụ và vào năm 2024, 1,34 tỷ USD đã bị đánh cắp trong 47 vụ, làm tăng số tiền bị đánh cắp lên 102,88%. Những con số này chiếm 61% tổng số tiền bị đánh cắp trong năm đó và 20% tổng số vụ việc.
Một báo cáo năm ngoái công bố rằng Triều Tiên đã đánh cắp 1 tỷ USD sau 20 vụ hack. Sau khi điều tra sâu hơn, chúng tôi xác định rằng một số vụ hack quy mô lớn trước đây được cho là do Triều Tiên thực hiện đã không còn liên quan nữa và số tiền đã giảm xuống còn 660,5 triệu USD. Tuy nhiên, tổng số vụ việc vẫn không thay đổi vì chúng tôi đã xác định được các vụ hack nhỏ hơn khác được cho là do Triều Tiên thực hiện. Chúng tôi sẽ liên tục đánh giá lại đánh giá của mình về các vụ hack liên quan đến Triều Tiên khi chúng tôi nhận được bằng chứng mới trên chuỗi và ngoài chuỗi.
Thật không may, các cuộc tấn công tiền điện tử của Triều Tiên dường như ngày càng trở nên thường xuyên hơn. Trong biểu đồ bên dưới, chúng tôi xem xét thời gian trung bình để Triều Tiên thực hiện một cuộc tấn công thành công theo quy mô khai thác và nhận thấy rằng tất cả các quy mô tấn công đều giảm so với cùng kỳ năm trước. Đặc biệt, các cuộc tấn công trong phạm vi từ 50 triệu đến 100 triệu USD và các cuộc tấn công vượt quá 100 triệu USD xảy ra thường xuyên hơn nhiều vào năm 2024 so với năm 2023, cho thấy Triều Tiên đã trở nên tinh vi hơn trong các hoạt động khai thác quy mô lớn. Điều đó cho thấy rằng họ đang thực hiện. nó nhanh hơn. Điều này trái ngược với hai năm qua, trong đó lợi nhuận trên mỗi lần khai thác thường dưới 50 triệu USD.
Khi chúng tôi xem xét hoạt động của Triều Tiên so với tất cả các vụ tấn công khác mà chúng tôi đã đo lường, chúng tôi nhận thấy rằng Triều Tiên luôn phải chịu trách nhiệm về hầu hết các vụ khai thác lớn trong ba năm qua. Điều thú vị là Triều Tiên tiếp tục thống trị các vụ khai thác vào năm 2024, nhưng số vụ hack chi phí thấp khoảng 10.000 USD cũng tăng lên.
Một số sự kiện này dường như có liên quan đến việc nhân viên CNTT Triều Tiên tăng cường xâm nhập vào tài sản tiền điện tử và các công ty Web3, làm tổn hại đến mạng lưới, hoạt động và tính toàn vẹn của họ. Những công nhân này thường sử dụng các chiến thuật, kỹ thuật và thủ tục (TTP) phức tạp để có được quyền truy cập, bao gồm sử dụng danh tính giả, cơ quan tuyển dụng bên thứ ba và khai thác các cơ hội làm việc từ xa. Gần đây, Bộ Tư pháp Hoa Kỳ (DOJ) đã truy tố 14 công dân Triều Tiên được các công ty Hoa Kỳ tuyển dụng làm nhân viên CNTT từ xa và kiếm được hơn 88 triệu USD bằng cách đánh cắp thông tin bí mật và tống tiền người chủ của họ.
Để giảm thiểu những rủi ro này, các công ty nên ưu tiên tuyển dụng kỹ lưỡng, bao gồm kiểm tra lý lịch và kiểm tra lý lịch, đồng thời duy trì vệ sinh khóa riêng tư chặt chẽ để bảo vệ các tài sản quan trọng khi cần thiết.
Tất cả những xu hướng này cho thấy một năm rất năng động của Triều Tiên, phần lớn diễn ra vào đầu năm và hoạt động hack nói chung trì trệ trong quý 3 và quý 4. Điều này được thể hiện trong biểu đồ trên.
Cuối tháng 6 năm 2024, Tổng thống Nga Putin và Chủ tịch Triều Tiên Kim Jong Un đã tổ chức hội nghị thượng đỉnh tại Bình Nhưỡng và ký hiệp ước phòng thủ chung. Liên minh giữa hai nước đã trở nên sâu sắc hơn kể từ đầu năm nay, với việc Nga giải phóng hàng triệu đô la từ các tài sản của Triều Tiên đã bị phong tỏa để tuân thủ các lệnh trừng phạt của Hội đồng Bảo an Liên hợp quốc (UNSC). Trong khi đó, Triều Tiên được cho là đang triển khai quân ở Ukraine , cung cấp tên lửa đạn đạo cho Nga và tìm kiếm công nghệ vũ trụ, tên lửa và tàu ngầm tiên tiến từ Moscow.
So sánh giá trị trung bình hàng ngày bị mất do các cuộc tấn công của Triều Tiên trước và sau ngày 1 tháng 7 năm 2024, chúng tôi thấy rằng số tiền bị đánh cắp đã giảm đáng kể. Cụ thể, như trong hình bên dưới, số tiền bị Triều Tiên đánh cắp đã giảm khoảng 53,73% sau hội nghị thượng đỉnh, trong khi số tiền bị các quốc gia khác ngoài Triều Tiên đánh cắp tăng khoảng 5%. Do đó, ngoài việc tái phân bổ nguồn lực quân sự cho cuộc xung đột Ukraine, Triều Tiên, quốc gia đã tăng cường hợp tác đáng kể với Nga trong những năm gần đây, cũng có thể đã thay đổi các hoạt động tội phạm mạng.
Mặc dù sự suy giảm số tiền bị Triều Tiên đánh cắp sau ngày 1 tháng 7 năm 2024 là rõ ràng và thời điểm rất đáng chú ý, nhưng điều quan trọng cần lưu ý là sự sụt giảm này không nhất thiết liên quan đến chuyến thăm Bình Nhưỡng của Tổng thống Putin. Ngoài ra, có một số sự kiện được lên kế hoạch vào tháng 12 có thể thay đổi mô hình vào cuối năm vì những kẻ tấn công thường tiến hành các cuộc tấn công trong kỳ nghỉ lễ.
Nghiên cứu điển hình: Cuộc tấn công của Triều Tiên vào DMM Bitcoin
Một ví dụ đáng chú ý về vụ hack liên quan đến Triều Tiên xảy ra vào năm 2024 là sự cố trong đó DMM Bitcoin, một sàn giao dịch tiền điện tử của Nhật Bản, bị vi phạm an ninh và mất khoảng 4.502,9 BTC, trị giá 305 triệu USD vào thời điểm đó. Những kẻ tấn công nhắm vào các lỗ hổng trong cơ sở hạ tầng được DMM sử dụng, dẫn đến việc rút tiền trái phép. Đáp lại, DMM đã huy động số tiền tương đương với sự hỗ trợ từ các công ty trong tập đoàn và bồi thường đầy đủ tiền đặt cọc của khách hàng .
Chúng tôi đã có thể phân tích dòng tiền trên chuỗi sau cuộc tấn công đầu tiên. Điều này được chia thành hai biểu đồ Lò phản ứng phân tích chuỗi và được hiển thị bên dưới. Giai đoạn đầu tiên cho thấy những kẻ tấn công đã chuyển tài sản tiền điện tử trị giá hàng triệu đô la từ DMM Bitcoin sang nhiều địa chỉ trung gian, cuối cùng đến dịch vụ trộn CoinJoin của Bitcoin.
Sau khi trộn thành công số tiền bị đánh cắp bằng dịch vụ trộn CoinJoin, những kẻ tấn công đã chuyển một phần tiền thông qua một số dịch vụ cầu nối và cuối cùng sử dụng dịch vụ trộn CoinJoin, một thị trường trực tuyến liên kết với tập đoàn Huione của Campuchia mà tôi đã gửi tiền tới.Đảm bảo của Huione . Tập đoàn Huione trước đây đã được tiết lộ là kẻ hỗ trợ chính cho tội phạm mạng.
Do quy mô của vụ hack và những thách thức vận hành liên quan, DMM Bitcoin, Inc. đã quyết định đóng cửa sàn giao dịch vào tháng 12 năm 2024. Tài sản và tài khoản khách hàng sẽ được di chuyển sang năm 2020 và quá trình chuyển đổi dự kiến sẽ hoàn thành vào tháng 3 năm 2025. May mắn thay, khi chúng ta khám phá chi tiết hơn trong phần tiếp theo, các công cụ và công nghệ dự đoán mới nổi đang mở đường cho khả năng ngăn chặn những vụ hack tàn khốc như vậy.
Tận dụng các mô hình dự đoán để ngăn chặn hack
Các công nghệ dự đoán tiên tiến đang thay đổi an ninh mạng bằng cách phát hiện các rủi ro và mối đe dọa tiềm ẩn trong thời gian thực, cung cấp cách tiếp cận chủ động để bảo vệ hệ sinh thái kỹ thuật số. Chainalysis gần đây đã mua lại Hexagate, nhà cung cấp giải pháp bảo mật Web3 hàng đầu nhằm phát hiện và giảm thiểu các mối đe dọa như khai thác mạng, hack, quản trị và rủi ro tài chính. Khách hàng của Hexagate đã ngăn chặn hơn 1 tỷ USD tài sản của khách hàng bằng cách thực hiện các hành động trên chuỗi dựa trên thông báo theo thời gian thực và phản hồi tự động đối với các mối đe dọa tiềm ẩn.
Hexagate tận dụng công nghệ phát hiện độc quyền và mô hình học máy để dự đoán và phát hiện các giao dịch bất thường cũng như hoạt động độc hại trên mạng blockchain trong thời gian thực. Bằng cách liên tục quét các hợp đồng và giao dịch thông minh, hệ thống của Hexagate xác định các mô hình đáng ngờ, rủi ro tiềm ẩn và các mối đe dọa trước khi chúng gây ra tổn thất tài chính. Lấy UwU Lend, một nhà cung cấp thanh khoản phi tập trung, làm ví dụ.
Vào ngày 10 tháng 6 năm 2024, những kẻ tấn công đã khai thác UwU Lend với giá khoảng 20 triệu USD bằng cách thao túng hệ thống oracle giá. Kẻ tấn công đã phát động một cuộc tấn công cho vay nhanh làm thay đổi giá của ETHe Staked USDe (sUSDe) trên nhiều oracle, dẫn đến việc định giá không chính xác. Kết quả là kẻ tấn công đã có thể vay được hàng triệu đô la trong bảy phút. Hexagate đã phát hiện ra hợp đồng tấn công và diễn biến tương tự cũng được quan sát thấy hai ngày trước khi nó bị khai thác.
Hợp đồng tấn công đã được phát hiện chính xác trong thời gian thực hai ngày trước khi nó bị khai thác, nhưng do thiết kế của nó nên mối liên hệ của nó với hợp đồng bị khai thác không rõ ràng ngay lập tức. Các công cụ bổ sung, chẳng hạn như tiên tri bảo mật của Hexagate, có thể tận dụng hơn nữa khả năng phát hiện sớm này để giảm thiểu mối đe dọa. Đáng chú ý, cuộc tấn công đầu tiên gây thiệt hại 8,2 triệu USD, xảy ra chỉ vài phút trước các cuộc tấn công tiếp theo, cho thấy một dấu hiệu quan trọng khác.
Loại dịch vụ đưa ra cảnh báo trước các cuộc tấn công lớn trên chuỗi này có khả năng thay đổi đáng kể tính bảo mật cho những người tham gia trong ngành, cho phép họ ngăn chặn thay vì phản ứng với những thiệt hại tốn kém do hack gây ra.
Trong biểu đồ Chainalysis Reactor bên dưới, chúng ta có thể thấy rằng những kẻ tấn công đã chuyển số tiền bị đánh cắp qua hai địa chỉ trung gian trước khi tiếp cận Tornado Cash , một công cụ trộn hợp đồng thông minh Ethereum đã bị OFAC xử phạt.
Nếu bạn có Reactor, bạn có thể xem biểu đồ này tại đây .
Tuy nhiên, điều quan trọng cần lưu ý là việc có quyền truy cập vào các mô hình dự đoán này không đảm bảo khả năng ngăn chặn hack vì không phải lúc nào các giao thức cũng có công cụ phù hợp để hoạt động hiệu quả.
Nhu cầu bảo mật tài sản tiền điện tử mạnh mẽ
Sự gia tăng trộm cắp tài sản tiền điện tử vào năm 2024 nêu bật sự cần thiết phải giải quyết bối cảnh mối đe dọa ngày càng phức tạp và ngày càng phát triển. Mặc dù quy mô trộm cắp tiền điện tử vẫn chưa quay trở lại mức như năm 2021 và 2022, nhưng sự tái xuất hiện được mô tả ở trên đã làm nổi bật những lỗ hổng trong các biện pháp bảo mật hiện có và tầm quan trọng của việc thích ứng với các kỹ thuật khai thác mới của Masu. Quan hệ đối tác công-tư là cần thiết để giải quyết hiệu quả những thách thức này. Các sáng kiến chia sẻ dữ liệu, giải pháp bảo mật thời gian thực, công cụ theo dõi nâng cao và chương trình đào tạo có mục tiêu giúp các bên liên quan nhanh chóng xác định hoạt động độc hại, đồng thời xây dựng khả năng phục hồi cần thiết để bảo vệ tài sản tiền điện tử, có thể mang lại cho bạn sức mạnh khiến bạn mất khả năng hoạt động .
Ngoài ra, khi khung pháp lý đối với tài sản tiền điện tử tiếp tục phát triển, việc giám sát an ninh nền tảng và bảo vệ tài sản của khách hàng có thể sẽ trở nên nghiêm ngặt hơn. Các phương pháp thực hành tốt nhất trong ngành phải theo kịp những thay đổi này và đảm bảo cả tính phòng ngừa lẫn trách nhiệm giải trình. Ngành công nghiệp tiền điện tử có thể tăng cường khả năng phòng vệ chống lại hành vi trộm cắp bằng cách thúc đẩy mối quan hệ đối tác mạnh mẽ hơn với các cơ quan thực thi pháp luật và tập hợp các đội có đủ nguồn lực và chuyên môn để phản ứng nhanh chóng. Những nỗ lực này rất cần thiết không chỉ để bảo vệ tài sản cá nhân mà còn xây dựng niềm tin và sự ổn định lâu dài trong hệ sinh thái kỹ thuật số.
Trang web này chứa các liên kết đến các trang web của bên thứ ba không thuộc quyền kiểm soát của Chainalysis, Inc. hoặc các chi nhánh của nó (gọi chung là “Chainalysis”). Việc truy cập vào những thông tin đó không ngụ ý sự liên kết, chứng thực, phê duyệt hoặc khuyến nghị của Chainalysis. của trang web hoặc nhà điều hành trang web và Chainalysis không chịu trách nhiệm về các sản phẩm, dịch vụ hoặc nội dung khác được lưu trữ trên đó.
Tài liệu này chỉ nhằm mục đích cung cấp thông tin và không nhằm mục đích cung cấp lời khuyên về pháp lý, thuế, tài chính hoặc đầu tư. Người nhận nên tham khảo ý kiến cố vấn của chính mình trước khi đưa ra các loại quyết định này. hành động hoặc thiếu sót liên quan đến việc Người nhận sử dụng tài liệu này.
Chainalysis không đảm bảo hoặc đảm bảo tính chính xác, đầy đủ, kịp thời, phù hợp hoặc hợp lệ của thông tin trong báo cáo này và sẽ không chịu trách nhiệm về bất kỳ khiếu nại nào do lỗi, thiếu sót hoặc sự không chính xác khác của bất kỳ phần nào của tài liệu đó.
Bài viết Tổng số tiền bị đánh cắp tài sản tiền điện tử vào năm 2024 sẽ lên tới 2,2 tỷ USD, nhưng các hoạt động của Triều Tiên đã trì trệ về mặt tiền tệ kể từ tháng 7, xuất hiện đầu tiên trên Chainalysis .
