加密货币黑客攻击仍然是一个持续的威胁,在过去十年中有四年单独看到价值超过10亿美元的加密货币被盗(2018年、2021年、2022年和2023年)。2024年标志着达到这一令人不安的里程碑的第五年,这突出了随着加密货币的采用和价格上涨,可被盗的金额也在增加。
2024年,被盗资金同比增加约21.07%,达到22亿美元,个人黑客事件的数量从2023年的282起增加到2024年的303起。
有趣的是,加密货币黑客攻击的强度在今年年中左右发生了转变。在我们年中犯罪更新中,我们注意到2024年1月至7月期间累计被盗价值已达15.8亿美元,比2023年同期增加约84.4%。正如我们在下图中看到的,到7月底,生态系统很容易实现2021年和2022年30亿美元+的年度水平。然而,2024年的上升趋势在7月之后大幅放缓,此后保持相对稳定。后面我们将探讨这一变化的潜在地缘政治原因。
就被盗金额的受害平台类型而言,2024年也出现了有趣的模式。在2021年至2023年的大部分季度中,去中心化金融(DeFi)平台是加密货币黑客攻击的主要目标。DeFi平台可能更容易受到攻击,因为它们的开发者倾向于优先快速增长和将产品推向市场,而不是实施安全措施,使它们成为黑客的主要目标。
尽管DeFi在2024年第一季度仍占被盗资产的最大份额,但中心化服务在第二和第三季度成为最主要的目标。一些最值得注意的中心化服务黑客攻击包括DMM Bitcoin(2024年5月;3.05亿美元)和WazirX(2024年7月;2.349亿美元)。
从DeFi转向中心化服务的这一转变突出了确保常见黑客攻击漏洞(如私钥)的安全性日益重要。2024年,私钥泄露占被盗加密货币的最大份额,达43.8%。对于中心化服务来说,确保私钥的安全至关重要,因为它们控制着用户资产的访问权限。鉴于中心化交易所管理大量用户资金,私钥泄露的影响可能是毁灭性的;我们只需看看3.05亿美元的DMM Bitcoin黑客攻击,这是迄今为止最大的加密货币漏洞之一,可能是由于私钥管理不善或缺乏适当的安全措施造成的。
在窃取私钥后,恶意行为者通常通过将被盗资金导入去中心化交易所(DEX)、挖矿服务或混合服务来洗钱,以掩盖交易痕迹并使追踪复杂化。2024年,我们可以看到私钥黑客的洗钱活动与利用其他攻击向量的黑客有着明显的不同。例如,在窃取私钥后,这些黑客通常转向跨链桥和混合服务。对于其他攻击向量,DEX更受欢迎。
继续阅读,了解2024年加密货币黑客攻击趋势、朝鲜民主主义人民共和国(DPRK)的活动,以及Hexagate使用机器学习模型主动检测可疑黑客行为的能力,这一能力最近被Chainalysis收购。
2024年,朝鲜黑客从加密平台窃取的金额创历史新高
与朝鲜有关的黑客因其复杂和不懈的手艺而臭名昭著,他们经常使用先进的恶意软件、社会工程和加密货币盗窃来资助国家赞助的行动并规避国际制裁。美国和国际官员评估,平壤使用它窃取的加密货币来资助其大规模杀伤性武器和弹道导弹计划,危及国际安全。2023年,与朝鲜有关的黑客窃取约6.605亿美元,涉及20起事件;2024年,这一数字增加到13.4亿美元,涉及47起事件,增幅为102.88%。这些数字占全年总盗窃额的61%,占总事件的20%。
请注意,在去年的报告中,我们发布了朝鲜窃取10亿美元,涉及20起黑客事件。经过进一步调查,我们确定我们之前归因于朝鲜的某些大型黑客事件可能不再相关,因此减少到6.605亿美元。但事件数量保持不变,因为我们确定了其他较小的与朝鲜有关的黑客事件。我们旨在随着获得新的链上和链下证据,不断重新评估我们对朝鲜相关黑客事件的评估。
不幸的是,朝鲜的加密货币攻击似乎正变得更加频繁。在下图中,我们根据攻击规模的大小,研究了朝鲜成功攻击之间的平均时间,发现无论攻击规模大小,同比都有所下降。值得注意的是,5000万美元至1亿美元之间的攻击以及1亿美元以上的攻击在2024年的频率远高于2023年,这表明朝鲜在大规模攻击方面变得更加擅长和更快。这与前两年的情况形成鲜明对比,当时其攻击收益通常低于5000万美元。
在检查朝鲜的活动与我们测量的所有其他黑客攻击相比时,很明显朝鲜在过去三年一直负责大部分大规模攻击。有趣的是,朝鲜在高端攻击梯度方面的主导地位在2024年继续存在,但在较低金额(主要集中在1万美元左右)也出现了朝鲜黑客攻击的密集情况。
这些事件中的一些似乎与朝鲜IT工人有关,他们越来越多地渗透到加密货币和Web3公司,并破坏其网络、运营和完整性。这些工人通常使用复杂的战术、技术和程序(TTPs),如虚假身份、第三方招聘中介和操纵远程工作机会来获取访问权限。在最近的一起案件中,美国司法部(DOJ)起诉了14名朝鲜公民,他们以远程IT工人的身份在美国公司工作,通过窃取专有信息和勒索雇主获得了8800万美元以上的收益。
为了减轻这些风险,公司应该优先进行彻底的就业尽职调查,包括背景调查和身份验证,同时保持健全的私钥管理,以保护关键资产(如果适用)。
尽管所有这些趋势都表明朝鲜今年活跃,但其大部分攻击发生在年初,第三和第四季度的黑客活动趋于停滞,如前图所示。
2024年6月下旬,俄罗斯总统普京和朝鲜领导人金正恩在平壤举行了一次峰会,签署了相互防御条约。到目前为止,他们不断加强的联盟已经表现为俄罗斯释放了数百万美元的之前因联合国安理会制裁而被冻结的朝鲜资产。与此同时,朝鲜向乌克兰派遣了部队,向俄罗斯提供了弹道导弹,并据报正在从莫斯科寻求先进的航天、导弹和潜艇技术。
如果我们对比2024年7月1日之前和之后朝鲜每日平均被盗金额,我们可以看到被盗金额显著下降。具体而言,如下图所示,朝鲜在7月1日之后的被盗金额下降约53.73%,而非朝鲜方面的被盗金额上升约5%。因此,除了将军事资源重新调配到乌克兰冲突之外,最近几年与俄罗斯大幅增加合作的朝鲜可能也调整了其网络犯罪活动。
我们能够分析初次攻击后资金流向,我们将其分解为下面两个Chainalysis Reactor图表。在第一阶段,我们看到攻击者将数百万美元的加密货币从DMM比特币转移到几个中间地址,然后最终进入比特币CoinJoin混合服务。
成功混淆了被盗资金后,攻击者通过多个桥接服务转移了部分资金,最终流向Huione Guarantee,这是一个与柬埔寨集团Huione有关的在线市场,此前曾被曝参与网络犯罪。
由于漏洞的规模和后续的运营挑战,DMM决定关闭该交易所,并于2024年12月将其资产和客户账户转移到日本金融集团SBI集团的子公司SBI VC Trade,预计将于2025年3月完成过渡。幸运的是,正如我们将在下一部分探讨的,新兴的工具和预测技术正在为潜在地阻止这种破坏性的黑客攻击铺平道路。
利用预测模型阻止黑客攻击
先进的预测技术正在通过实时检测潜在风险和威胁,为网络安全带来变革,提供一种主动的方法来保护数字生态系统。Chainalysis最近收购了Hexagate,这是Web3安全解决方案的领先提供商,可检测和缓解包括网络攻击、黑客、治理和财务风险在内的威胁。Hexagate的客户已经通过基于实时通知和自动响应潜在威胁的链上行动,挽救了超过10亿美元的客户资金。
Hexagate利用专有的检测技术和机器学习模型,实时预测和检测区块链网络上的异常交易和恶意活动。通过持续扫描智能合约和交易,Hexagate的系统识别可疑模式,并在财务损失发生之前发现潜在的风险和威胁。让我们看一个涉及去中心化流动性提供商UwU Lend的例子。
2024年6月10日,一名攻击者通过操纵其价格预言机系统,攻击了UwU Lend约2000万美元。攻击者发起了闪电贷攻击,改变了跨多个预言机的Ethena Staked USDe(sUSDe)的价格,导致估值错误。因此,攻击者能够在7分钟内借到数百万美元。Hexagate在攻击发生前约两天就检测到了这一攻击合约及其类似部署。
尽管攻击合约在攻击发生前两天就被准确检测到,但由于其设计,它与被利用的合约的联系并不明显。利用Hexagate的安全预言机等其他工具,这种提前检测可以进一步用于缓解威胁。值得注意的是,导致820万美元损失的第一次攻击发生在后续攻击之前的几分钟内,这提供了另一个重要信号。
这类攻击发生前的警报有望改变行业参与者的安全状况,使他们能够预防而不是应对破坏性的黑客攻击。
在下面的Chainalysis Reactor图表中,我们看到攻击者在资金流向OFAC制裁的以太坊智能合约混合器Tornado Cash之前,通过两个中间地址转移了被盗资金。
您是Reactor用户吗?在这里查看此图表。
然而,仅拥有这些预测模型的访问权限并不能确保防止黑客攻击,因为协议可能并不总是拥有有效采取行动的适当工具。
加强加密安全的需求
2024年被盗加密货币的增加突显了行业需要应对日益复杂和不断变化的威胁环境的必要性。尽管2024年被盗加密货币的规模尚未达到2021年和2022年的水平,但上述复苏突出了现有安全措施的缺陷,以及适应新的利用方法的重要性。为了有效应对这些挑战,公共和私营部门之间的协作方法至关重要。数据共享计划、实时安全解决方案、先进的追踪工具和针对性培训,可以赋能利益相关方快速识别和中和恶意行为者,同时建立保护加密资产所需的抗压能力。
此外,随着加密监管框架的不断发展,对平台安全和客户资产保护的审查也将日趋严格。行业最佳实践必须与这些变化保持同步,确保预防和问责并重。通过与执法部门建立更紧密的伙伴关系,并为团队提供应对迅速的资源和专业知识,加密行业可以加强其对盗窃的防御。这些努力不仅对于保护个人资产至关重要,也对于建立数字生态系统的长期信任和稳定至关重要。
本网站包含第三方网站的链接,这些网站不受Chainalysis, Inc.或其关联公司(统称为"Chainalysis")的控制。访问此类信息并不意味着与该网站或其运营商有任何关联、认可、批准或推荐,Chainalysis也不对其托管的产品、服务或其他内容负责。
本材料仅供参考,并非旨在提供法律、税务、财务或投资建议。收件人应在做出此类决定之前咨询自己的顾问。Chainalysis对收件人使用本材料做出的任何决定或任何其他行为或不作为概不负责。
Chainalysis不保证或保证本报告中信息的准确性、完整性、及时性、适用性或有效性,也不对任何由错误、遗漏或其他不准确之处引起的任何索赔负责。
本文最初发表于Chainalysis。
