Nguồn: Chainalysis
Biên dịch: Tào Chu, Jinse Finance
Các cuộc tấn công của hacker vào tiền điện tử vẫn là một mối đe dọa kéo dài, với 4 năm trong 10 năm qua có giá trị hơn 1 tỷ USD bị đánh cắp (2018, 2021, 2022 và 2023). 2024 sẽ là năm thứ 5 đạt được cột mốc đáng lo ngại này, cho thấy khi Bit và giá của chúng tăng, số tiền có thể bị đánh cắp cũng tăng lên.
Vào năm 2024, số tiền bị đánh cắp tăng khoảng 21,07% so với năm trước, đạt 2,2 tỷ USD, số vụ tấn công cá nhân tăng từ 282 vụ vào năm 2023 lên 303 vụ vào năm 2024.
Điều thú vị là, cường độ của các cuộc tấn công vào Bit đã thay đổi vào khoảng giữa năm nay. Trong bản cập nhật tội phạm giữa năm của chúng tôi, chúng tôi nhận thấy giá trị tích lũy của số tiền bị đánh cắp từ tháng 1 đến tháng 7 năm 2024 đã đạt 1,58 tỷ USD, tăng khoảng 84,4% so với cùng kỳ năm 2023. Như chúng ta thấy trong biểu đồ bên dưới, đến cuối tháng 7, hệ sinh thái đã dễ dàng quay lại đúng quỹ đạo, có thể so sánh với mức 3 tỷ USD vào năm 2021 và 2022. Tuy nhiên, xu hướng tăng của số tiền Bit bị đánh cắp vào năm 2024 đã rõ ràng chậm lại sau tháng 7 và sau đó tương đối ổn định. Sau đó, chúng tôi sẽ thảo luận về những lý do địa chính trị tiềm ẩn của sự thay đổi này.
Về mặt phân loại nền tảng nạn nhân, năm 2024 cũng cho thấy một mô hình thú vị. Trong hầu hết các quý từ 2021 đến 2023, DeFi là mục tiêu chính của các cuộc tấn công vào Bit. Các nền tảng DeFi có thể dễ bị tấn công hơn vì các nhà phát triển của họ có xu hướng ưu tiên tăng trưởng nhanh chóng và đưa sản phẩm ra thị trường thay vì thực hiện các biện pháp bảo mật, điều này khiến chúng trở thành mục tiêu chính của các hacker.
Mặc dù DeFi vẫn chiếm phần lớn tài sản bị đánh cắp trong quý 1 năm 2024, nhưng các dịch vụ tập trung lại là mục tiêu chính trong quý 2 và quý 3. Một số cuộc tấn công vào các dịch vụ tập trung nổi tiếng nhất bao gồm DMM Bitcoin (tháng 5 năm 2024; 305 triệu USD) và WazirX (tháng 7 năm 2024; 234,9 triệu USD).
Sự chuyển dịch này từ DeFi sang các dịch vụ tập trung đã nhấn mạnh tầm quan trọng ngày càng tăng của các cơ chế bảo mật như private key. Vào năm 2024, private key chiếm tỷ lệ lớn nhất trong số Bit bị đánh cắp, đạt 43,8%. Đối với các dịch vụ tập trung, việc đảm bảo an toàn cho private key là rất quan trọng vì chúng kiểm soát quyền truy cập vào tài sản của người dùng. Với các sàn giao dịch tập trung quản lý số lượng lớn tài sản của người dùng, việc lộ private key có thể có hậu quả nghiêm trọng; chúng ta chỉ cần nhìn vào sự kiện DMM Bitcoin trị giá 305 triệu USD, đây là một trong những lỗ hổng Bit lớn nhất từ trước đến nay, có thể là do quản lý private key kém hoặc thiếu bảo mật đầy đủ.
Sau khi lộ private key, các tác nhân độc hại thường sử dụng các sàn giao dịch phi tập trung (DEX), dịch vụ khai thác hoặc dịch vụ trộn để rửa tiền số bị đánh cắp, làm mờ dấu vết giao dịch và làm phức tạp việc truy vết. Đến năm 2024, chúng tôi có thể thấy hoạt động rửa tiền của các hacker lộ private key khác biệt nhiều so với hoạt động rửa tiền của các hacker sử dụng các phương tiện tấn công khác. Ví dụ, sau khi đánh cắp private key, những kẻ này thường chuyển sang các dịch vụ cầu nối và trộn. Đối với các phương tiện tấn công khác, DEX thường được sử dụng nhiều hơn cho hoạt động rửa tiền.
Vào năm 2024, hacker Triều Tiên sẽ đánh cắp nhiều tiền từ các nền tảng Bit hơn bất kỳ thời điểm nào khác
Các hacker liên quan đến Triều Tiên nổi tiếng với những phương pháp phức tạp và vô cảm của họ, thường lợi dụng phần mềm độc hại tiên tiến, kỹ thuật kỹ thuật xã hội và trộm cắp Bit để tài trợ cho các hoạt động do nhà nước tài trợ và tránh các lệnh trừng phạt quốc tế. Các quan chức Mỹ và quốc tế đánh giá rằng Bình Nhưỡng sử dụng Bit đánh cắp để tài trợ cho các chương trình vũ khí hủy diệt hàng loạt và tên lửa đạn đạo của họ, đe dọa an ninh quốc tế. Đến năm 2023, các hacker liên quan đến Triều Tiên đã đánh cắp khoảng 660,5 triệu USD thông qua 20 sự kiện; đến năm 2024, con số này tăng lên 1,34 tỷ USD trong 47 sự kiện, tăng 102,88% về giá trị bị đánh cắp. Những con số này chiếm 61% tổng số tiền bị đánh cắp trong năm và 20% tổng số sự kiện.
Lưu ý rằng, trong báo cáo năm ngoái, chúng tôi đã công bố thông tin về việc Triều Tiên đánh cắp 1 tỷ USD thông qua 20 cuộc tấn công. Sau khi điều tra thêm, chúng tôi xác định rằng một số cuộc tấn công lớn trước đây được quy cho Triều Tiên có thể không còn liên quan, do đó số tiền giảm xuống còn 660,5 triệu USD. Tuy nhiên, số lượng sự kiện vẫn không đổi vì chúng tôi đã phát hiện ra một số cuộc tấn công nhỏ hơn khác được quy cho Triều Tiên. Khi chúng tôi có được bằng chứng trên chuỗi và ngoài chuỗi mới, mục tiêu của chúng tôi là liên tục đánh giá lại đánh giá của chúng tôi về các sự kiện liên quan đến hacker Triều Tiên.
Thật không may, các cuộc tấn công Bit của Triều Tiên dường như ngày càng trở nên phổ biến. Trong biểu đồ bên dưới, chúng tôi đã kiểm tra thời gian trung bình giữa các cuộc tấn công thành công của CHDCND Triều Tiên dựa trên quy mô lỗ hổng, và thấy rằng tần suất của các cuộc tấn công ở mọi quy mô đều giảm so với năm trước. Đáng chú ý là tần suất của các cuộc tấn công trị giá từ 50 triệu USD đến 100 triệu USD và trên 100 triệu USD vào năm 2024 cao hơn nhiều so với năm 2023, cho thấy Triều Tiên đang ngày càng giỏi và nhanh hơn trong các cuộc tấn công quy mô lớn. Điều này tạo sự tương phản rõ rệt với hai năm trước, khi lợi nhuận của họ thường dưới 50 triệu USD mỗi lần.
Khi so sánh hoạt động của Triều Tiên với tất cả các hoạt động hacker khác mà chúng tôi theo dõi, rõ ràng Triều Tiên đã chịu trách nhiệm về hầu hết các cuộc tấn công quy mô lớn trong ba năm qua. Điều thú vị là, mật độ các cuộc tấn công của hacker Triều Tiên với giá trị khoảng 10.000 USD cũng đang tăng lên.
Một số sự kiện này dường như liên quan đến các chuyên gia CNTT của Triều Tiên, những người ngày càng thâm nhập vào các công ty Bit và Web3, làm tổn hại mạng, hoạt động và tính toàn vẹn của họ. Những nhân viên này thường sử dụng các chiến lược, kỹ thuật và quy trình (TTP) phức tạp như danh tính giả, thuê các công ty môi giới bên thứ ba và lợi dụng các cơ hội làm việc từ xa để giành quyền truy cập. Trong một trường hợp gần đây, Bộ Tư pháp Hoa Kỳ (DOJ) đã khởi tố 14 công dân Triều Tiên đang làm việc từ xa với tư cách là chuyên gia CNTT tại Hoa Kỳ. Các công ty đã kiếm được hơn 88 triệu USD thông qua việc đánh cắp thông tin độc quyền và tống tiền chủ lao động.
Để giảm thiểu
Vào cuối tháng 6 năm 2024, Tổng thống Nga Vladimir Putin và lãnh đạo Triều Tiên Kim Jong-un sẽ tổ chức hội nghị thượng đỉnh tại Bình Nhưỡng và ký kết một hiệp ước phòng thủ chung. Cho đến nay trong năm nay, Nga đã giải phóng hàng triệu Đô la Mỹ của tài sản Triều Tiên trước đó bị đóng băng theo các biện pháp trừng phạt của Hội đồng Bảo an Liên Hợp Quốc, đánh dấu sự phát triển không ngừng của liên minh giữa hai quốc gia. Trong khi đó, Triều Tiên đã triển khai quân đội sang Ukraine và cung cấp tên lửa đạn đạo cho Nga, và được cho là đang tìm kiếm công nghệ tiên tiến về không gian, tên lửa và tàu ngầm từ Moskva.
Nếu so sánh thiệt hại trung bình hàng ngày do các lỗ hổng của CHDCND Triều Tiên trước và sau ngày 1 tháng 7 năm 2024, chúng ta có thể thấy số tiền bị đánh cắp đã giảm đáng kể. Cụ thể như trong biểu đồ, số tiền bị Triều Tiên đánh cắp giảm khoảng 53,73%, trong khi số tiền bị đánh cắp không phải bởi Triều Tiên lại tăng khoảng 5%. Do đó, ngoài việc chuyển các nguồn lực quân sự sang xung đột ở Ukraine, Triều Tiên cũng có thể đã thay đổi các hoạt động tội phạm mạng của mình trong những năm gần đây khi tăng cường hợp tác với Nga.
Sự giảm sút trong việc Triều Tiên đánh cắp tài sản sau ngày 1 tháng 7 năm 2024 là rõ ràng và đúng thời điểm, nhưng đáng chú ý là sự giảm sút này không nhất thiết liên quan đến chuyến thăm của ông Putin đến Bình Nhưỡng. Ngoài ra, một số sự kiện vào tháng 12 có thể thay đổi mô hình này vào cuối năm, và các kẻ tấn công thường tấn công vào dịp lễ.
Nghiên cứu trường hợp: Cuộc tấn công của Triều Tiên vào DMM Bitcoin
Một ví dụ nổi tiếng về cuộc tấn công của hacker liên quan đến Triều Tiên vào năm 2024 là cuộc tấn công vào sàn giao dịch tiền Bit DMM Bitcoin ở Nhật Bản, dẫn đến mất khoảng 4.502,9 Bit, trị giá 305 triệu Đô la Mỹ vào thời điểm đó. Các kẻ tấn công đã lợi dụng các lỗ hổng trong cơ sở hạ tầng mà DMM sử dụng, dẫn đến rút tiền trái phép. DMM, với sự hỗ trợ của tập đoàn, đã hoàn trả đầy đủ tiền gửi của khách hàng bằng cách tìm kiếm các nguồn tài sản tương đương.
Chúng tôi có thể phân tích luồng tiền trên chuỗi sau cuộc tấn công ban đầu, trong giai đoạn đầu tiên chúng tôi thấy các kẻ tấn công chuyển các Bit trị giá hàng triệu Đô la từ DMM Bitcoin đến một số địa chỉ trung gian, sau đó cuối cùng đến máy chủ dịch vụ trộn tiền Bit CoinJoin.
Sau khi thành công trong việc trộn số tiền đánh cắp bằng dịch vụ trộn tiền Bit CoinJoin, các kẻ tấn công đã chuyển một phần số tiền thông qua một số dịch vụ cầu nối đến Huioneguarantee, một thị trường trực tuyến liên quan đến tập đoàn doanh nghiệp Huione ở Campuchia, một trong những người tham gia quan trọng trong lĩnh vực này, tạo điều kiện cho tội phạm mạng.
DMM Bitcoin đã chuyển tài sản và tài khoản khách hàng của mình sang công ty con SBI VC Trade của tập đoàn tài chính Nhật Bản SBI Group, với kế hoạch chuyển đổi hoàn tất vào tháng 3 năm 2025. May mắn thay, các công cụ và công nghệ dự đoán mới đang nổi lên, và chúng tôi sẽ thảo luận về chúng trong phần tiếp theo để chuẩn bị ngăn chặn các cuộc tấn công hủy diệt như vậy.
Sử dụng mô hình dự đoán để ngăn chặn các cuộc tấn công của hacker
Các công nghệ dự đoán tiên tiến đang thay đổi an ninh mạng bằng cách phát hiện các rủi ro và mối đe dọa tiềm ẩn theo thời gian thực, cung cấp các phương pháp chủ động để bảo vệ hệ sinh thái kỹ thuật số. Hãy xem ví dụ sau đây liên quan đến nhà cung cấp thanh khoản phi tập trung UwU Lend.
Vào ngày 10 tháng 6 năm 2024, các kẻ tấn công đã thao túng hệ thống oracle giá của UwU Lend để chiếm đoạt khoảng 20 triệu Đô la. Các kẻ tấn công đã phát động một cuộc tấn công khoản vay nhanh bằng cách thay đổi giá của Ethena Staked USDe (sUSDe) trên nhiều oracle, dẫn đến định giá không chính xác. Do đó, các kẻ tấn công có thể vay hàng triệu Đô la trong vòng bảy phút. Hexagate đã phát hiện ra hợp đồng tấn công và các triển khai tương tự khoảng hai ngày trước khi lỗ hổng được khai thác.
Mặc dù hợp đồng tấn công đã được phát hiện chính xác trong thời gian thực khoảng hai ngày trước khi lỗ hổng được khai thác, nhưng do thiết kế của nó, mối liên hệ với hợp đồng bị lợi dụng không được hiển thị ngay lập tức. Với các công cụ khác như oracle an ninh của Hexagate, có thể tiếp tục sử dụng phát hiện sớm này để giảm thiểu mối đe dọa. Đáng chú ý là cuộc tấn công đầu tiên gây ra thiệt hại 8,2 triệu Đô la đã xảy ra chỉ vài phút trước cuộc tấn công tiếp theo, cung cấp một tín hiệu quan trọng khác.
Các cảnh báo như vậy trước các cuộc tấn công chuỗi lớn có thể thay đổi an ninh của các bên tham gia trong ngành, cho phép họ hoàn toàn ngăn chặn các cuộc tấn công hacker tốn kém thay vì chỉ phản ứng lại.
Trong hình sau, chúng ta thấy các kẻ tấn công đã chuyển số tiền đánh cắp thông qua hai địa chỉ trung gian trước khi đến trộn tiền trong hợp đồng thông minh của bộ trộn tiền Ethereum Tornado Cash được OFAC phê duyệt.
Tuy nhiên, đáng chú ý rằng chỉ truy cập các mô hình dự đoán này không đảm bảo ngăn chặn được các cuộc tấn công của hacker, vì các giao thức có thể không luôn có các công cụ thích hợp để thực hiện các biện pháp phản ứng hiệu quả.
Cần an ninh Bit mạnh hơn
Sự gia tăng các vụ đánh cắp Bit vào năm 2024 nổi bật nhu cầu của ngành công nghiệp này phải đối mặt với các mối đe dọa ngày càng phức tạp và thay đổi liên tục. Mặc dù quy mô các vụ đánh cắp Bit chưa hồi phục lại mức của năm 2021 và 2022, sự hồi sinh trên đây cho thấy những khoảng trống trong các biện pháp an ninh hiện tại và tầm quan trọng của việc thích ứng với các phương pháp khai thác mới. Để giải quyết hiệu quả những thách thức này, sự hợp tác giữa khu vực công và tư là rất quan trọng. Các chương trình chia sẻ dữ liệu, các giải pháp an ninh thời gian thực, các công cụ theo dõi tiên tiến và đào tạo có mục tiêu có thể cho phép các bên liên quan nhanh chóng xác định và loại bỏ các tác nhân độc hại, đồng thời xây dựng sự phục hồi cần thiết để bảo vệ tài sản Bit.
Ngoài ra, khi khung pháp lý về Bit tiếp tục phát triển, việc kiểm tra an ninh nền tảng và bảo vệ tài sản của khách hàng có thể được tăng cường. Các thực tiễn tốt nhất của ngành phải theo kịp những thay đổi này để đảm bảo phòng ngừa và trách nhiệm giải trình. Thông qua việc xây dựng mối quan hệ đối tác chặt chẽ hơn với cơ quan thực thi pháp luật và cung cấp các nguồn lực và chuyên môn để phản ứng nhanh chóng, ngành Bit có thể tăng cường khả năng chống trộm cắp. Những nỗ lực này không chỉ quan trọng đối với việc bảo vệ tài sản cá nhân mà còn rất quan trọng đối với việc xây dựng niềm tin và ổn định lâu dài trong hệ sinh thái kỹ thuật số.
