※本文章已经过自动翻译。有关准确内容,请参考原文。
加密资产黑客攻击仍然是一个根深蒂固的威胁,过去10年中每年都有超过10亿美元的加密资产被盗(2018年、2021年、2022年和2023年)。2024年是这一令人不安的里程碑后的第5年,随着加密资产的普及和价格上涨,被盗金额也在增加。
2024年,被盗资金同比增加约21.07%,达到22亿美元,单独的黑客攻击事件从2023年的282起增加到2024年的303起。
有趣的是,加密资产黑客攻击的强度在年中发生了转变。我们的中期犯罪更新指出,2024年1月至7月的累计被盗金额已达15.8亿美元,超过2023年同期的84.4%。如下图所示,截至7月底,2024年有可能达到2021年和2022年超过30亿美元的水平。但是,2024年的上升趋势在7月之后大幅放缓,之后保持相对稳定。我们将进一步探讨这一变化的地缘政治原因。
2024年,按受害平台类型划分的被盗金额也出现了有趣的模式。在2021年至2023年的大部分季度中,加密资产黑客攻击的主要目标是去中心化金融(DeFi)平台。由于开发人员倾向于优先考虑快速增长和推出市场产品,而将安全实施放在后面,DeFi平台容易受到攻击,成为黑客的理想目标。
2024年第一季度,被盗资产主要集中在去中心化金融(DeFi)领域,但第二和第三季度,中心化服务成为最主要的目标。最值得注意的中心化服务黑客攻击包括DMM比特币(2024年5月,3.05亿美元)和WazirX(2024年7月,2.349亿美元)。
这种从去中心化金融(DeFi)转向中心化服务的焦点转移,突出了黑客通常利用的机制,例如私钥保护的重要性日益增加。2024年,43.8%的被盗加密资产是由于私钥被侵犯造成的。对于中心化服务,确保私钥安全至关重要,因为它们管理着用户资产的访问。中心化交易所管理着大量用户资产,一旦私钥被侵犯,影响将是巨大的。3.05亿美元的DMM比特币黑客事件是迄今为止最大规模的加密资产侵犯事件之一,可能是由于私钥管理不善和缺乏适当的安全措施造成的。
在窃取私钥后,恶意行为者通常会通过去中心化交易所(DEX)、挖矿服务或混合服务来清洗被盗资金,以模糊交易痕迹、增加追踪的复杂性。2024年,从私钥盗窃中获得资金的黑客的洗钱活动,将与利用其他攻击向量的黑客的洗钱活动有所不同。例如,在窃取私钥后,这些黑客更倾向于使用跨链桥和混合服务,而其他攻击向量更多地利用DEX进行洗钱。
如果您想了解2024年加密资产黑客攻击的趋势、朝鲜的活动以及Hexagate使用机器学习模型提前检测可疑黑客行为的能力,请继续阅读。Hexagate最近被Chainalysis收购。
2024年,朝鲜黑客组织对加密货币交易所的攻击达到历史最高水平
与朝鲜有关的黑客组织以其高度和顽固的间谍活动而臭名昭著,他们经常利用先进的恶意软件、社会工程和加密资产盗窃来为国家支持的活动筹集资金,逃避国际制裁。美国和国际当局评估,平壤利用被盗的加密资产来资助大规模杀伤性武器和弹道导弹计划,从而威胁国际安全。2023年,与朝鲜有关的黑客在20起事件中盗取约6.605亿美元,而2024年在47起事件中盗取13.4亿美元,增幅达102.88%。这些数字占当年总盗窃额的61%,占总事件数的20%。
根据去年的报告,朝鲜通过20起黑客攻击窃取了10亿美元。进一步调查发现,此前认定为朝鲜所为的一些大规模黑客攻击可能与朝鲜无关,损失金额降至6.605亿美元。但同时也发现了其他一些小规模的朝鲜相关黑客攻击,所以总事件数没有变化。我们将继续根据新获得的链上和链下证据,重新评估朝鲜相关黑客攻击事件。
遗憾的是,朝鲜针对加密资产的攻击似乎越来越频繁。研究发现,无论攻击规模大小,朝鲜成功攻击的平均时间都有所缩短。特别是5000万美元到1亿美元和超过1亿美元的攻击,在2024年比2023年更为频繁,表明朝鲜正变得更加熟练和迅速地进行大规模攻击。这与过去两年的情况形成鲜明对比,当时大多数攻击利润不超过5000万美元。
与我们测量的其他所有黑客攻击相比,过去三年朝鲜一直主导着大部分大规模攻击。有趣的是,尽管2024年朝鲜仍主导着攻击,但数额较小(约1万美元)的黑客攻击也有所增加。
这些事件中的一些似乎与朝鲜IT劳工有关,他们通过使用假身份、第三方招聘中介和远程工作机会等高级战术、技术和流程(TTP)来试图获取访问权限,并侵犯了加密资产和Web3公司的网络、业务和完整性。最近,美国司法部(DOJ)起诉了14名朝鲜公民,他们以远程IT劳工的身份受雇于美国公司,窃取机密信息并勒索雇主,获得超过8800万美元。
为了降低这些风险,企业应该优先进行全面的雇佣尽职调查,包括背景调查和身份验证,同时保持强大的机密密钥卫生管理,以保护关键资产。
这些趋势都表明2024年将是朝鲜非常活跃的一年,但大部分攻击发生在年初,第三和第四季度的黑客活动有所减弱。
2024年6月下旬,俄罗斯总统普京和朝鲜最高领导人金正恩在平壤举行了峰会,并签署了相互防御条约。今年以来,两国关系日益密切,俄罗斯从被联合国安理会制裁冻结的朝鲜资产中释放了数百万美元。与此同时,朝鲜向乌克兰派遣军队,并向俄罗斯提供弹道导弹,同时也寻求从莫斯科获得先进的航天、导弹和潜艇技术。
与峰会前后相比,朝鲜的盗窃活动明显减少了约53.73%,而其他国家的盗窃活动则增加了约5%。这可能表明,除了将军事资源重新分配到乌克兰冲突之外,近年来与俄罗斯大幅加强合作的朝鲜也可能调整了其网络犯罪活动。
尽管朝鲜在7月1日之后的盗窃资金明显减少,并且时间点也很突出,但这并不一定完全与普京总统的平壤访问有关。此外,还有一些预定在12月举行的事件,可能会导致年底前模式发生变化,因为攻击者通常会在假期期间发动攻击。
案例研究:朝鲜对DMM比特币的攻击
2024年发生的一起显著的朝鲜相关黑客攻击事件是,日本加密货币交易所DMM比特币遭到安全漏洞攻击,损失约4,502.9 BTC,当时价值3.05亿美元。攻击者瞄准了DMM使用的基础设施漏洞,导致了非法提款。对此,DMM通过集团公司的支持筹集了同等资金,全额补偿了客户存款。
我们能够分析最初攻击后链上资金流向。我们将其分为两个Chainalysis Reactor图表如下所示。第一阶段显示,攻击者将数百万美元加密资产从DMM比特币转移到多个中间地址,最终流向比特币的CoinJoin混合服务。
利用CoinJoin混合服务成功混淆被盗资金后,攻击者将部分资金通过多个桥接服务转移到与柬埔寨综合企业Huione Group合作的在线市场平台Huione Guarantee。Huione Group此前被曝涉嫌助长网络犯罪。
由于黑客事件规模及其带来的业务挑战,DMM比特币于2024年12月决定关闭交易所。该公司将资产和客户账户转移至日本金融集团SBI集团的子公司SBI VC Trade,预计将于2025年3月完成迁移。幸运的是,正如下一部分所详述,新兴工具和预测技术为预防此类破坏性黑客攻击开辟了可能性。
利用预测模型阻止黑客攻击
先进的预测技术通过实时检测潜在风险和威胁,正在改变网络安全,为保护数字生态系统提供主动的方法。Chainalysis最近收购了Hexagate,这是一家领先的Web3安全解决方案提供商,可检测和缓解网络攻击、黑客、治理和财务风险等威胁。Hexagate的客户已经通过基于实时威胁通知和自动响应的链上行动,防止了超过10亿美元的客户资产损失。
Hexagate利用其独有的检测技术和机器学习模型,实时预测和检测整个区块链网络中的异常交易和恶意活动。通过持续扫描智能合约和交易,Hexagate的系统能在财务损失发生前识别可疑模式和潜在风险。以分散式流动性提供商UwU Lend为例。
2024年6月10日,攻击者操纵价格预言机系统,利用UwU Lend约2000万美元。攻击者发起闪电贷攻击,跨多个预言机操纵Ethena Staked USDe (sUSDe)的价格,导致错误估值。结果,攻击者在7分钟内借到数百万美元。Hexagate在被恶意利用2天前就检测到了攻击合约。
尽管攻击合约在被恶意利用前2天就被实时准确检测到,但由于其设计,与被利用合约的关联性并不明显。如果有Hexagate的安全预言机等额外工具,就可以进一步利用这种早期检测来缓解威胁。值得注意的是,导致820万美元损失的初始攻击发生在后续攻击仅几分钟前,这是另一个重要信号。
这种能在重大链上攻击发生前发出警报的服务,有望极大地改变行业参与者的安全状况,实现从应对高额黑客损失到预防的转变。
下面的Chainalysis Reactor图表显示,攻击者在将被盗资金转移到OFAC制裁的以太坊智能合约混合器Tornado Cash之前,通过两个中间地址进行了资金转移。
如果您有Reactor,可以在此查看该图表。
但需要注意的是,仅拥有这些预测模型并不能完全防止黑客攻击,因为协议并不总是配备有效的适当工具。
需要强大的加密资产安全
2024年加密资产盗窃事件的增加,突显了应对不断复杂和进化的威胁的必要性。尽管加密资产盗窃规模尚未恢复到2021年和2022年的水平,但上述复苏凸显了现有安全措施的缺口,以及适应新型利用方式的重要性。有效应对这些挑战需要政府和行业的合作。数据共享倡议、实时安全解决方案、先进的追踪工具以及有针对性的培训,可以在构建加密资产所需的抗压能力的同时,赋予利益相关方快速识别和中和恶意行为的能力。
随着加密资产监管框架的不断发展,对平台安全性和客户资产保护的监管将可能进一步加强。行业最佳实践必须与此同步,确保预防和问责。加密资产行业可以通过促进与执法机构的更牢固合作,并组建拥有资源和专业知识的团队,来加强对盗窃的防御。这些努力不仅可以保护个人资产,还可以建立数字生态系统的长期信任和稳定性。
This website contains links to third-party sites that are not under the control of Chainalysis, Inc. or its affiliates (collectively "Chainalysis"). Access to such information does not imply association with, endorsement of, approval of, or recommendation by Chainalysis of the site or its operators, and Chainalysis is not responsible for the products, services, or other content hosted therein.
This material is for informational purposes only, and is not intended to provide legal, tax, financial, or investment advice. Recipients should consult their own advisors before making these types of decisions. Chainalysis has no responsibility or liability for any decision made or any other acts or omissions in connection with Recipient's use of this material.
Chainalysis does not guarantee or warrant the accuracy, completeness, timeliness, suitability or validity of the information in this report and will not be responsible for any claim attributable to errors, omissions, or other inaccuracies of any part of such material.
The post 2024年的加密资产盗窃总额达22亿美元,但7月以后朝鲜的活动有所减缓,导致被盗金额在年底趋于平稳 appeared first on Chainalysis.
