Nguồn: Chainalysis; Biên tập: Tào Châu, Jinse Finance
Các cuộc tấn công của hacker vào tiền điện tử vẫn là một mối đe dọa liên tục, trong bốn năm trong vòng một thập kỷ qua, hơn 1 tỷ USD tiền điện tử đã bị đánh cắp (năm 2018, 2021, 2022 và 2023). Năm 2024 sẽ là năm thứ năm đạt được cột mốc đáng lo ngại này, cho thấy khi việc áp dụng tiền điện tử và giá cả tăng lên, số tiền có thể bị đánh cắp cũng tăng lên.
Vào năm 2024, số tiền bị đánh cắp tăng khoảng 21,07% so với cùng kỳ, đạt 2,2 tỷ USD, số vụ việc cá nhân bị hacker tấn công tăng từ 282 vụ vào năm 2023 lên 303 vụ vào năm 2024.
Điều thú vị là, cường độ của các cuộc tấn công hacker vào tiền điện tử đã thay đổi vào khoảng giữa năm nay. Trong bản cập nhật tội phạm giữa năm của chúng tôi, chúng tôi nhận thấy rằng tổng giá trị bị đánh cắp trong giai đoạn từ tháng 1 đến tháng 7 năm 2024 đã đạt 1,58 tỷ USD, cao hơn khoảng 84,4% so với giá trị bị đánh cắp trong cùng kỳ năm 2023. Như chúng ta thấy trong biểu đồ bên dưới, đến cuối tháng 7, hệ sinh thái có thể đi đúng hướng, có thể so sánh với hơn 3 tỷ USD trong năm 2021 và 2022. Tuy nhiên, xu hướng gia tăng các vụ đánh cắp tiền điện tử vào năm 2024 đã rõ ràng chậm lại sau tháng 7 và sau đó tương đối ổn định. Sau đó, chúng tôi sẽ thảo luận về các nguyên nhân địa chính trị tiềm ẩn của sự thay đổi này.
Về mặt phân loại nền tảng nạn nhân, năm 2024 cũng xuất hiện một mô hình thú vị. Trong hầu hết các quý từ năm 2021 đến 2023, các nền tảng Tài chính Phi tập trung (DeFi) là mục tiêu chính của các cuộc tấn công hacker tiền điện tử. Các nền tảng DeFi có thể dễ bị tấn công hơn vì các nhà phát triển của họ có xu hướng ưu tiên tăng trưởng nhanh chóng và đưa sản phẩm ra thị trường thay vì thực hiện các biện pháp bảo mật, điều này khiến chúng trở thành mục tiêu chính của các hacker.
Mặc dù DeFi vẫn chiếm phần lớn tài sản bị đánh cắp trong quý 1 năm 2024, nhưng các dịch vụ tập trung lại là mục tiêu chính trong quý 2 và quý 3. Một số cuộc tấn công hacker vào các dịch vụ tập trung nổi tiếng nhất bao gồm DMM Bitcoin (tháng 5 năm 2024; 305 triệu USD) và WazirX (tháng 7 năm 2024; 234,9 triệu USD).
Sự chuyển dịch này từ DeFi sang các dịch vụ tập trung nổi bật tầm quan trọng ngày càng tăng của các cơ chế bảo mật như private key. Vào năm 2024, rò rỉ private key chiếm tỷ lệ lớn nhất trong số tiền điện tử bị đánh cắp, đạt 43,8%. Đối với các dịch vụ tập trung, đảm bảo an toàn cho private key là rất quan trọng vì chúng kiểm soát quyền truy cập vào tài sản của người dùng. Với việc các sàn giao dịch tập trung quản lý số lượng lớn tài sản của người dùng, tác động của rò rỉ private key có thể là thảm khốc; chúng ta chỉ cần nhìn vào vụ việc hacker trị giá 305 triệu USD tại DMM Bitcoin, đây là một trong những lỗ hổng tiền điện tử lớn nhất từ trước đến nay, có thể là do quản lý private key kém hoặc thiếu bảo mật đầy đủ.
Sau khi rò rỉ private key, các tác nhân độc hại thường sử dụng các sàn giao dịch phi tập trung (DEX), dịch vụ khai thác hoặc dịch vụ trộn tiền để rửa tiền số tiền bị đánh cắp, làm mờ dấu vết giao dịch và làm phức tạp việc truy vết. Đến năm 2024, chúng tôi có thể thấy hoạt động rửa tiền của các hacker lấy cắp private key khác biệt nhiều so với hoạt động rửa tiền của các hacker sử dụng các phương tiện tấn công khác. Ví dụ, sau khi đánh cắp private key, những hacker này thường chuyển sang các dịch vụ cầu nối và trộn tiền. Đối với các phương tiện tấn công khác, các sàn giao dịch phi tập trung thường được sử dụng nhiều hơn để rửa tiền.
Vào năm 2024, số tiền mà hacker liên quan đến Triều Tiên đánh cắp từ các nền tảng tiền điện tử sẽ nhiều hơn bất kỳ thời điểm nào khác
Các hacker liên quan đến Triều Tiên nổi tiếng với những phương pháp phức tạp và vô cảm của họ, thường lợi dụng phần mềm độc hại tiên tiến, kỹ thuật kỹ thuật xã hội và trộm cắp tiền điện tử để tài trợ cho các hoạt động do nhà nước tài trợ và tránh các biện pháp trừng phạt quốc tế. Các quan chức Mỹ và quốc tế đánh giá rằng Bình Nhưỡng sử dụng tiền điện tử đánh cắp để tài trợ cho các chương trình vũ khí hủy diệt hàng loạt và tên lửa đạn đạo của họ, đe dọa an ninh quốc tế. Đến năm 2023, các hacker liên quan đến Triều Tiên đã đánh cắp khoảng 660,5 triệu USD thông qua 20 sự kiện; đến năm 2024, con số này tăng lên 1,34 tỷ USD trong 47 sự kiện, tăng 102,88% về giá trị bị đánh cắp. Những con số này chiếm 61% tổng số tiền bị đánh cắp trong năm và 20% tổng số sự kiện.
Xin lưu ý rằng trong báo cáo năm ngoái, chúng tôi đã công bố thông tin về việc Triều Tiên đánh cắp 1 tỷ USD thông qua 20 cuộc tấn công hacker. Sau khi điều tra thêm, chúng tôi xác định rằng một số cuộc tấn công hacker lớn trước đây được quy cho Triều Tiên có thể không còn liên quan, do đó số tiền giảm xuống còn 660,5 triệu USD. Tuy nhiên, số lượng sự kiện vẫn không đổi vì chúng tôi đã phát hiện ra một số cuộc tấn công hacker nhỏ hơn khác được quy cho Triều Tiên. Khi chúng tôi nhận được thêm bằng chứng trên chuỗi và ngoài chuỗi, mục tiêu của chúng tôi là liên tục đánh giá lại đánh giá của chúng tôi về các sự kiện hacker liên quan đến Triều Tiên.
Thật không may, các cuộc tấn công tiền điện tử của Triều Tiên dường như ngày càng trở nên phổ biến. Trong biểu đồ bên dưới, chúng tôi đã kiểm tra thời gian trung bình giữa các cuộc tấn công thành công của CHDCND Triều Tiên theo quy mô lỗ hổng, và thấy rằng tần suất của các cuộc tấn công ở mọi quy mô đều giảm so với cùng kỳ. Đáng chú ý là, tần suất của các cuộc tấn công trị giá từ 50 triệu USD đến 100 triệu USD và trên 100 triệu USD vào năm 2024 cao hơn nhiều so với năm 2023, cho thấy Triều Tiên đang ngày càng giỏi và nhanh hơn trong các cuộc tấn công quy mô lớn. Điều này tạo sự tương phản rõ rệt với hai năm trước, khi lợi nhuận từ mỗi cuộc tấn công thường dưới 50 triệu USD.
Khi so sánh hoạt động của Triều Tiên với tất cả các hoạt động hacker khác mà chúng tôi theo dõi, rõ ràng là Triều Tiên đã chịu trách nhiệm về hầu hết các cuộc tấn công quy mô lớn trong ba năm qua. Điều thú vị là, mật độ các cuộc tấn công hacker của Triều Tiên với giá trị khoảng 10.000 USD cũng liên tục tăng lên.
Một số sự kiện này dường như liên quan đến các chuyên gia CNTT của Triều Tiên, những người ngày càng thâm nhập vào các công ty tiền điện tử và Web3, gây hại cho mạng, hoạt động và tính toàn vẹn của họ. Những nhân viên này thường sử dụng các chiến lược, kỹ thuật và quy trình (TTP) phức tạp, chẳng hạn như sử dụng danh tính giả, thuê các công ty môi giới tuyển dụng bên thứ ba và lợi dụng các cơ hội làm việc từ xa để có được quyền truy cập. Trong một trường hợp gần đây, Bộ Tư pháp Hoa K
Dưới đây là bản dịch tiếng Việt của văn bản trên:Vào cuối tháng 6 năm 2024, Tổng thống Nga Vladimir Putin và lãnh đạo Triều Tiên Kim Jong-un sẽ tổ chức hội nghị thượng đỉnh tại Bình Nhưỡng và ký kết một hiệp ước phòng thủ chung. Cho đến nay trong năm nay, Nga đã giải phóng hàng triệu đô la Mỹ của tài sản Triều Tiên trước đây bị đóng băng theo các biện pháp trừng phạt của Hội đồng Bảo an Liên Hợp Quốc, điều này đánh dấu sự phát triển không ngừng của liên minh giữa hai quốc gia. Trong khi đó, Triều Tiên đã triển khai quân đội sang Ukraine, cung cấp tên lửa đạn đạo cho Nga và được cho là đang tìm kiếm công nghệ tiên tiến về không gian, tên lửa và tàu ngầm từ Moskva.
Nếu so sánh thiệt hại trung bình hàng ngày do các lỗ hổng của CHDCND Triều Tiên trước và sau ngày 1 tháng 7 năm 2024, chúng ta có thể thấy số tiền bị đánh cắp đã giảm đáng kể. Cụ thể như trong biểu đồ dưới đây, số tiền bị Triều Tiên đánh cắp giảm khoảng 53,73%, trong khi số tiền bị đánh cắp không phải bởi Triều Tiên lại tăng khoảng 5%. Do đó, ngoài việc chuyển các nguồn lực quân sự sang xung đột ở Ukraine, Triều Tiên cũng có thể đã thay đổi các hoạt động tội phạm mạng của mình trong những năm gần đây do tăng cường hợp tác với Nga.
Sự giảm đáng kể trong số tiền bị Triều Tiên đánh cắp sau ngày 1 tháng 7 năm 2024 là rõ ràng và đúng thời điểm, nhưng đáng chú ý là sự giảm này không nhất thiết liên quan đến chuyến thăm của ông Putin đến Bình Nhưỡng. Ngoài ra, một số sự kiện vào tháng 12 có thể thay đổi mô hình này vào cuối năm, và các kẻ tấn công thường tấn công vào dịp lễ.
Nghiên cứu trường hợp: Cuộc tấn công của Triều Tiên vào DMM Bitcoin
Một ví dụ nổi tiếng về cuộc tấn công của Triều Tiên vào năm 2024 liên quan đến sàn giao dịch tiền điện tử DMM Bitcoin của Nhật Bản, nơi bị hack và mất khoảng 4.502,9 Bit, trị giá 305 triệu đô la lúc đó. Các kẻ tấn công đã lợi dụng lỗ hổng trong cơ sở hạ tầng mà DMM sử dụng, dẫn đến rút tiền trái phép. DMM, với sự hỗ trợ của công ty mẹ, đã hoàn trả đầy đủ tiền gửi của khách hàng bằng cách tìm kiếm các nguồn tài chính tương đương.
Chúng tôi có thể phân tích luồng tiền trên chuỗi sau cuộc tấn công ban đầu, trong giai đoạn đầu tiên chúng tôi thấy các kẻ tấn công chuyển các loại tiền điện tử trị giá hàng triệu đô la từ DMM Bitcoin đến một số địa chỉ trung gian, sau đó cuối cùng đến máy chủ dịch vụ trộn Bit Coin CoinJoin.
Sau khi thành công trong việc trộn số tiền bị đánh cắp bằng dịch vụ trộn Bit Coin CoinJoin, các kẻ tấn công đã chuyển một phần số tiền thông qua một số dịch vụ cầu nối đến Huioneguarantee, một thị trường trực tuyến liên quan đến tập đoàn doanh nghiệp Huione Group của Campuchia, một trong những người tham gia quan trọng trong lĩnh vực này, tạo điều kiện cho tội phạm mạng.
DMM Bitcoin đã chuyển tài sản và tài khoản khách hàng của mình sang công ty con SBI VC Trade của tập đoàn tài chính Nhật Bản SBI Group, với kế hoạch chuyển giao hoàn tất vào tháng 3 năm 2025. May mắn thay, các công cụ và công nghệ dự đoán mới đang nổi lên, chúng tôi sẽ thảo luận về chúng trong phần tiếp theo để chuẩn bị ngăn chặn các cuộc tấn công hacker phá hoại như vậy.
Sử dụng mô hình dự đoán để ngăn chặn các cuộc tấn công của hacker
Các công nghệ dự đoán tiên tiến đang thay đổi an ninh mạng bằng cách phát hiện các rủi ro và mối đe dọa tiềm ẩn theo thời gian thực, cung cấp các phương pháp chủ động để bảo vệ hệ sinh thái kỹ thuật số. Hãy xem ví dụ sau đây liên quan đến nhà cung cấp thanh khoản phi tập trung UwU Lend.
Vào ngày 10 tháng 6 năm 2024, các kẻ tấn công đã thao túng hệ thống oracle giá của UwU Lend để chiếm khoảng 20 triệu đô la. Các kẻ tấn công đã phát động một cuộc tấn công khoản vay nhanh để thay đổi giá của Ethena Staked USDe (sUSDe) trên nhiều oracle, dẫn đến định giá không chính xác. Do đó, các kẻ tấn công có thể vay hàng triệu đô la trong vòng bảy phút. Hexagate đã phát hiện ra hợp đồng tấn công và các triển khai tương tự khoảng hai ngày trước khi lỗ hổng được khai thác.
Mặc dù hợp đồng tấn công đã được phát hiện chính xác trong thời gian thực khoảng hai ngày trước khi lỗ hổng được khai thác, nhưng do thiết kế của nó, mối liên hệ với hợp đồng bị lợi dụng không được hiển thị ngay lập tức. Với các công cụ an ninh oracle khác như Hexagate, có thể tiếp tục sử dụng phát hiện sớm này để giảm thiểu mối đe dọa. Đáng chú ý là cuộc tấn công đầu tiên gây thiệt hại 8,2 triệu đô la đã xảy ra chỉ vài phút trước cuộc tấn công tiếp theo, cung cấp một tín hiệu quan trọng khác.
Các cảnh báo như vậy trước các cuộc tấn công lớn trên chuỗi có thể thay đổi an ninh của các bên tham gia trong ngành, cho phép họ hoàn toàn ngăn chặn các cuộc tấn công hacker tốn kém thay vì chỉ phản ứng lại.
Trong hình dưới đây, chúng ta thấy các kẻ tấn công đã chuyển số tiền bị đánh cắp thông qua hai địa chỉ trung gian trước khi đến trộn hợp đồng thông minh Tornado Cash được OFAC phê duyệt trên Ethereum.
Tuy nhiên, đáng chú ý rằng chỉ truy cập các mô hình dự đoán này không đảm bảo ngăn chặn các cuộc tấn công của hacker, vì các giao thức có thể không luôn có các công cụ thích hợp để thực hiện các biện pháp phản ứng.
Cần an ninh mật mã mạnh hơn
Sự gia tăng các vụ đánh cắp tiền điện tử vào năm 2024 đã nêu bật nhu cầu của ngành phải đối mặt với các mối đe dọa ngày càng phức tạp và thay đổi liên tục. Mặc dù quy mô các vụ đánh cắp tiền điện tử chưa phục hồi lên mức của năm 2021 và 2022, sự hồi sinh trên đã nêu bật những khoảng trống trong các biện pháp an ninh hiện tại và tầm quan trọng của việc thích ứng với các phương pháp khai thác mới. Để ứng phó hiệu quả với những thách thức này, sự hợp tác giữa khu vực công và tư là rất quan trọng. Các chương trình chia sẻ dữ liệu, các giải pháp an ninh thời gian thực, các công cụ theo dõi tiên tiến và đào tạo có mục tiêu có thể cho phép các bên liên quan nhanh chóng xác định và loại bỏ các tác nhân độc hại, đồng thời xây dựng sự phục hồi cần thiết để bảo vệ tài sản tiền điện tử.
Ngoài ra, khi khung pháp lý về tiền điện tử tiếp tục phát triển, việc kiểm tra an ninh nền tảng và bảo vệ tài sản của khách hàng có thể được tăng cường. Các thực tiễn tốt nhất của ngành phải theo kịp những thay đổi này để đảm bảo phòng ngừa và trách nhiệm giải trình. Thông qua việc xây dựng mối quan hệ đối tác chặt chẽ hơn với cơ quan thực thi pháp luật và cung cấp các nguồn lực và chuyên môn để phản ứng nhanh chóng, ngành tiền điện tử có thể tăng cường khả năng chống trộm cắp. Những nỗ lực này không chỉ quan trọng đối với việc bảo vệ tài sản cá nhân mà còn thiết yếu để xây dựng niềm tin và ổn định lâu dài trong hệ sinh thái kỹ thuật số.
