加密貨幣駭客攻擊仍然是一個持續的威脅,在過去十年中有四年單獨看到價值超過10億美元的加密貨幣被盜(2018年、2021年、2022年和2023年)。2024年標誌著達到這一令人不安的里程碑的第五年,這突出了隨著加密貨幣的採用和價格上漲,可被盜的金額也在增加。
2024年,被盜資金同比增加約21.07%,達到22億美元,個人駭客事件的數量從2023年的282起增加到2024年的303起。
有趣的是,加密貨幣駭客攻擊的強度在今年年中左右發生了轉變。在我們年中犯罪更新中,我們注意到2024年1月至7月期間累計被盜價值已達15.8億美元,比2023年同期增加約84.4%。正如我們在下圖中看到的,到7月底,生態系統很容易實現2021年和2022年30億美元+的年度水平。然而,2024年的上升趨勢在7月之後大幅放緩,此後保持相對穩定。後面我們將探討這一變化的潛在地緣政治原因。
就被盜金額的受害平臺型別而言,2024年也出現了有趣的模式。在2021年至2023年的大部分季度中,去中心化金融(DeFi)平臺是加密貨幣駭客攻擊的主要目標。DeFi平臺可能更容易受到攻擊,因為它們的開發者傾向於優先快速增長和將產品推向市場,而不是實施安全措施,使它們成為駭客的主要目標。
儘管DeFi在2024年第一季度仍佔被盜資產的最大份額,但中心化服務在第二和第三季度成為最主要的目標。一些最值得注意的中心化服務駭客攻擊包括DMM Bitcoin(2024年5月;3.05億美元)和WazirX(2024年7月;2.349億美元)。
從DeFi轉向中心化服務的這一轉變突出了確保常見駭客攻擊漏洞(如私鑰)的安全性日益重要。2024年,私鑰洩露佔被盜加密貨幣的最大份額,達43.8%。對於中心化服務來說,確保私鑰的安全至關重要,因為它們控制著使用者資產的訪問許可權。鑑於中心化交易所管理大量使用者資金,私鑰洩露的影響可能是毀滅性的;我們只需看看3.05億美元的DMM Bitcoin駭客攻擊,這是迄今為止最大的加密貨幣漏洞之一,可能是由於私鑰管理不善或缺乏適當的安全措施造成的。
在竊取私鑰後,惡意行為者通常透過將被盜資金匯入去中心化交易所(DEX)、挖礦服務或混合服務來洗錢,以掩蓋交易痕跡並使追蹤複雜化。2024年,我們可以看到私鑰駭客的洗錢活動與利用其他攻擊向量的駭客有著明顯的不同。例如,在竊取私鑰後,這些駭客通常轉向跨鏈橋和混合服務。對於其他攻擊向量,DEX更受歡迎。
繼續閱讀,瞭解2024年加密貨幣駭客攻擊趨勢、朝鮮民主主義人民共和國(DPRK)的活動,以及Hexagate使用機器學習模型主動檢測可疑駭客行為的能力,這一能力最近被Chainalysis收購。
2024年,朝鮮駭客從加密平臺竊取的金額創歷史新高
與朝鮮有關的駭客因其複雜和不懈的手藝而臭名昭著,他們經常使用先進的惡意軟體、社會工程和加密貨幣盜竊來資助國家贊助的行動並規避國際制裁。美國和國際官員評估,平壤使用它竊取的加密貨幣來資助其大規模殺傷性武器和彈道導彈計劃,危及國際安全。2023年,與朝鮮有關的駭客竊取約6.605億美元,涉及20起事件;2024年,這一數字增加到13.4億美元,涉及47起事件,增幅為102.88%。這些數字佔全年總盜竊額的61%,佔總事件的20%。
請注意,在去年的報告中,我們釋出了朝鮮竊取10億美元,涉及20起駭客事件。經過進一步調查,我們確定我們之前歸因於朝鮮的某些大型駭客事件可能不再相關,因此減少到6.605億美元。但事件數量保持不變,因為我們確定了其他較小的與朝鮮有關的駭客事件。我們旨在隨著獲得新的鏈上和鏈下證據,不斷重新評估我們對朝鮮相關駭客事件的評估。
不幸的是,朝鮮的加密貨幣攻擊似乎正變得更加頻繁。在下圖中,我們根據攻擊規模的大小,研究了朝鮮成功攻擊之間的平均時間,發現無論攻擊規模大小,同比都有所下降。值得注意的是,5000萬美元至1億美元之間的攻擊以及1億美元以上的攻擊在2024年的頻率遠高於2023年,這表明朝鮮在大規模攻擊方面變得更加擅長和更快。這與前兩年的情況形成鮮明對比,當時其攻擊收益通常低於5000萬美元。
在檢查朝鮮的活動與我們測量的所有其他駭客攻擊相比時,很明顯朝鮮在過去三年一直負責大部分大規模攻擊。有趣的是,朝鮮在高階攻擊梯度方面的主導地位在2024年繼續存在,但在較低金額(主要集中在1萬美元左右)也出現了朝鮮駭客攻擊的密集情況。
這些事件中的一些似乎與朝鮮IT工人有關,他們越來越多地滲透到加密貨幣和Web3公司,並破壞其網路、運營和完整性。這些工人通常使用複雜的戰術、技術和程式(TTPs),如虛假身份、第三方招聘中介和操縱遠端工作機會來獲取訪問許可權。在最近的一起案件中,美國司法部(DOJ)起訴了14名朝鮮公民,他們以遠端IT工人的身份在美國公司工作,透過竊取專有資訊和勒索僱主獲得了8800萬美元以上的收益。
為了減輕這些風險,公司應該優先進行徹底的就業盡職調查,包括背景調查和身份驗證,同時保持健全的私鑰管理,以保護關鍵資產(如果適用)。
儘管所有這些趨勢都表明朝鮮今年活躍,但其大部分攻擊發生在年初,第三和第四季度的駭客活動趨於停滯,如前圖所示。
2024年6月下旬,俄羅斯總統普京和朝鮮領導人金正恩在平壤舉行了一次峰會,簽署了相互防禦條約。到目前為止,他們不斷加強的聯盟已經表現為俄羅斯釋放了數百萬美元的之前因聯合國安理會制裁而被凍結的朝鮮資產。與此同時,朝鮮向烏克蘭派遣了部隊,向俄羅斯提供了彈道導彈,並據報正在從莫斯科尋求先進的航天、導彈和潛艇技術。
如果我們對比2024年7月1日之前和之後朝鮮每日平均被盜金額,我們可以看到被盜金額顯著下降。具體而言,如下圖所示,朝鮮在7月1日之後的被盜金額下降約53.73%,而非朝鮮方面的被盜金額上升約5%。因此,除了將軍事資源重新調配到烏克蘭衝突之外,最近幾年與俄羅斯大幅增加合作的朝鮮可能也調整了其網路犯罪活動。
我們能夠分析初次攻擊後資金流向,我們將其分解為下面兩個Chainalysis Reactor圖表。在第一階段,我們看到攻擊者將數百萬美元的加密貨幣從DMM比特幣轉移到幾個中間地址,然後最終進入比特幣CoinJoin混合服務。
成功混淆了被盜資金後,攻擊者透過多個橋接服務轉移了部分資金,最終流向Huione Guarantee,這是一個與柬埔寨集團Huione有關的線上市場,此前曾被曝參與網路犯罪。
由於漏洞的規模和後續的運營挑戰,DMM決定關閉該交易所,並於2024年12月將其資產和客戶賬戶轉移到日本金融集團SBI集團的子公司SBI VC Trade,預計將於2025年3月完成過渡。幸運的是,正如我們將在下一部分探討的,新興的工具和預測技術正在為潛在地阻止這種破壞性的駭客攻擊鋪平道路。
利用預測模型阻止駭客攻擊
先進的預測技術正在透過實時檢測潛在風險和威脅,為網路安全帶來變革,提供一種主動的方法來保護數字生態系統。Chainalysis最近收購了Hexagate,這是Web3安全解決方案的領先提供商,可檢測和緩解包括網路攻擊、駭客、治理和財務風險在內的威脅。Hexagate的客戶已經透過基於實時通知和自動響應潛在威脅的鏈上行動,挽救了超過10億美元的客戶資金。
Hexagate利用專有的檢測技術和機器學習模型,實時預測和檢測區塊鏈網路上的異常交易和惡意活動。透過持續掃描智慧合約和交易,Hexagate的系統識別可疑模式,並在財務損失發生之前發現潛在的風險和威脅。讓我們看一個涉及去中心化流動性提供商UwU Lend的例子。
2024年6月10日,一名攻擊者透過操縱其價格預言機系統,攻擊了UwU Lend約2000萬美元。攻擊者發起了閃電貸攻擊,改變了跨多個預言機的Ethena Staked USDe(sUSDe)的價格,導致估值錯誤。因此,攻擊者能夠在7分鐘內借到數百萬美元。Hexagate在攻擊發生前約兩天就檢測到了這一攻擊合約及其類似部署。
儘管攻擊合約在攻擊發生前兩天就被準確檢測到,但由於其設計,它與被利用的合約的聯絡並不明顯。利用Hexagate的安全預言機等其他工具,這種提前檢測可以進一步用於緩解威脅。值得注意的是,導致820萬美元損失的第一次攻擊發生在後續攻擊之前的幾分鐘內,這提供了另一個重要訊號。
這類攻擊發生前的警報有望改變行業參與者的安全狀況,使他們能夠預防而不是應對破壞性的駭客攻擊。
在下面的Chainalysis Reactor圖表中,我們看到攻擊者在資金流向OFAC制裁的以太坊智慧合約混合器Tornado Cash之前,透過兩個中間地址轉移了被盜資金。
您是Reactor使用者嗎?在這裡檢視此圖表。
然而,僅擁有這些預測模型的訪問許可權並不能確保防止駭客攻擊,因為協議可能並不總是擁有有效採取行動的適當工具。
加強加密安全的需求
2024年被盜加密貨幣的增加突顯了行業需要應對日益複雜和不斷變化的威脅環境的必要性。儘管2024年被盜加密貨幣的規模尚未達到2021年和2022年的水平,但上述復甦突出了現有安全措施的缺陷,以及適應新的利用方法的重要性。為了有效應對這些挑戰,公共和私營部門之間的協作方法至關重要。資料共享計劃、實時安全解決方案、先進的追蹤工具和針對性培訓,可以賦能利益相關方快速識別和中和惡意行為者,同時建立保護加密資產所需的抗壓能力。
此外,隨著加密監管框架的不斷發展,對平臺安全和客戶資產保護的審查也將日趨嚴格。行業最佳實踐必須與這些變化保持同步,確保預防和問責並重。透過與執法部門建立更緊密的夥伴關係,併為團隊提供應對迅速的資源和專業知識,加密行業可以加強其對盜竊的防禦。這些努力不僅對於保護個人資產至關重要,也對於建立數字生態系統的長期信任和穩定至關重要。
本網站包含第三方網站的連結,這些網站不受Chainalysis, Inc.或其關聯公司(統稱為"Chainalysis")的控制。訪問此類資訊並不意味著與該網站或其運營商有任何關聯、認可、批准或推薦,Chainalysis也不對其託管的產品、服務或其他內容負責。
本材料僅供參考,並非旨在提供法律、稅務、財務或投資建議。收件人應在做出此類決定之前諮詢自己的顧問。Chainalysis對收件人使用本材料做出的任何決定或任何其他行為或不作為概不負責。
Chainalysis不保證或保證本報告中資訊的準確性、完整性、及時性、適用性或有效性,也不對任何由錯誤、遺漏或其他不準確之處引起的任何索賠負責。
本文最初發表於Chainalysis。
