※本文章已經過自動翻譯。有關準確內容,請參考原文。
加密資產駭客攻擊仍然是一個根深蒂固的威脅,過去10年中每年都有超過10億美元的加密資產被盜(2018年、2021年、2022年和2023年)。2024年是這一令人不安的里程碑後的第5年,隨著加密資產的普及和價格上漲,被盜金額也在增加。
2024年,被盜資金同比增加約21.07%,達到22億美元,單獨的駭客攻擊事件從2023年的282起增加到2024年的303起。
有趣的是,加密資產駭客攻擊的強度在年中發生了轉變。我們的中期犯罪更新指出,2024年1月至7月的累計被盜金額已達15.8億美元,超過2023年同期的84.4%。如下圖所示,截至7月底,2024年有可能達到2021年和2022年超過30億美元的水平。但是,2024年的上升趨勢在7月之後大幅放緩,之後保持相對穩定。我們將進一步探討這一變化的地緣政治原因。
2024年,按受害平臺型別劃分的被盜金額也出現了有趣的模式。在2021年至2023年的大部分季度中,加密資產駭客攻擊的主要目標是去中心化金融(DeFi)平臺。由於開發人員傾向於優先考慮快速增長和推出市場產品,而將安全實施放在後面,DeFi平臺容易受到攻擊,成為駭客的理想目標。
2024年第一季度,被盜資產主要集中在去中心化金融(DeFi)領域,但第二和第三季度,中心化服務成為最主要的目標。最值得注意的中心化服務駭客攻擊包括DMM比特幣(2024年5月,3.05億美元)和WazirX(2024年7月,2.349億美元)。
這種從去中心化金融(DeFi)轉向中心化服務的焦點轉移,突出了駭客通常利用的機制,例如私鑰保護的重要性日益增加。2024年,43.8%的被盜加密資產是由於私鑰被侵犯造成的。對於中心化服務,確保私鑰安全至關重要,因為它們管理著使用者資產的訪問。中心化交易所管理著大量使用者資產,一旦私鑰被侵犯,影響將是巨大的。3.05億美元的DMM比特幣駭客事件是迄今為止最大規模的加密資產侵犯事件之一,可能是由於私鑰管理不善和缺乏適當的安全措施造成的。
在竊取私鑰後,惡意行為者通常會透過去中心化交易所(DEX)、挖礦服務或混合服務來清洗被盜資金,以模糊交易痕跡、增加追蹤的複雜性。2024年,從私鑰盜竊中獲得資金的駭客的洗錢活動,將與利用其他攻擊向量的駭客的洗錢活動有所不同。例如,在竊取私鑰後,這些駭客更傾向於使用跨鏈橋和混合服務,而其他攻擊向量更多地利用DEX進行洗錢。
如果您想了解2024年加密資產駭客攻擊的趨勢、朝鮮的活動以及Hexagate使用機器學習模型提前檢測可疑駭客行為的能力,請繼續閱讀。Hexagate最近被Chainalysis收購。
2024年,朝鮮駭客組織對加密貨幣交易所的攻擊達到歷史最高水平
與朝鮮有關的駭客組織以其高度和頑固的間諜活動而臭名昭著,他們經常利用先進的惡意軟體、社會工程和加密資產盜竊來為國家支援的活動籌集資金,逃避國際制裁。美國和國際當局評估,平壤利用被盜的加密資產來資助大規模殺傷性武器和彈道導彈計劃,從而威脅國際安全。2023年,與朝鮮有關的駭客在20起事件中盜取約6.605億美元,而2024年在47起事件中盜取13.4億美元,增幅達102.88%。這些數字佔當年總盜竊額的61%,佔總事件數的20%。
根據去年的報告,朝鮮透過20起駭客攻擊竊取了10億美元。進一步調查發現,此前認定為朝鮮所為的一些大規模駭客攻擊可能與朝鮮無關,損失金額降至6.605億美元。但同時也發現了其他一些小規模的朝鮮相關駭客攻擊,所以總事件數沒有變化。我們將繼續根據新獲得的鏈上和鏈下證據,重新評估朝鮮相關駭客攻擊事件。
遺憾的是,朝鮮針對加密資產的攻擊似乎越來越頻繁。研究發現,無論攻擊規模大小,朝鮮成功攻擊的平均時間都有所縮短。特別是5000萬美元到1億美元和超過1億美元的攻擊,在2024年比2023年更為頻繁,表明朝鮮正變得更加熟練和迅速地進行大規模攻擊。這與過去兩年的情況形成鮮明對比,當時大多數攻擊利潤不超過5000萬美元。
與我們測量的其他所有駭客攻擊相比,過去三年朝鮮一直主導著大部分大規模攻擊。有趣的是,儘管2024年朝鮮仍主導著攻擊,但數額較小(約1萬美元)的駭客攻擊也有所增加。
這些事件中的一些似乎與朝鮮IT勞工有關,他們透過使用假身份、第三方招聘中介和遠端工作機會等高階戰術、技術和流程(TTP)來試圖獲取訪問許可權,並侵犯了加密資產和Web3公司的網路、業務和完整性。最近,美國司法部(DOJ)起訴了14名朝鮮公民,他們以遠端IT勞工的身份受僱於美國公司,竊取機密資訊並勒索僱主,獲得超過8800萬美元。
為了降低這些風險,企業應該優先進行全面的僱傭盡職調查,包括背景調查和身份驗證,同時保持強大的機密金鑰衛生管理,以保護關鍵資產。
這些趨勢都表明2024年將是朝鮮非常活躍的一年,但大部分攻擊發生在年初,第三和第四季度的駭客活動有所減弱。
2024年6月下旬,俄羅斯總統普京和朝鮮最高領導人金正恩在平壤舉行了峰會,並簽署了相互防禦條約。今年以來,兩國關係日益密切,俄羅斯從被聯合國安理會制裁凍結的朝鮮資產中釋放了數百萬美元。與此同時,朝鮮向烏克蘭派遣軍隊,並向俄羅斯提供彈道導彈,同時也尋求從莫斯科獲得先進的航天、導彈和潛艇技術。
與峰會前後相比,朝鮮的盜竊活動明顯減少了約53.73%,而其他國家的盜竊活動則增加了約5%。這可能表明,除了將軍事資源重新分配到烏克蘭衝突之外,近年來與俄羅斯大幅加強合作的朝鮮也可能調整了其網路犯罪活動。
儘管朝鮮在7月1日之後的盜竊資金明顯減少,並且時間點也很突出,但這並不一定完全與普京總統的平壤訪問有關。此外,還有一些預定在12月舉行的事件,可能會導致年底前模式發生變化,因為攻擊者通常會在假期期間發動攻擊。
案例研究:朝鮮對DMM比特幣的攻擊
2024年發生的一起顯著的朝鮮相關駭客攻擊事件是,日本加密貨幣交易所DMM比特幣遭到安全漏洞攻擊,損失約4,502.9 BTC,當時價值3.05億美元。攻擊者瞄準了DMM使用的基礎設施漏洞,導致了非法提款。對此,DMM透過集團公司的支援籌集了同等資金,全額補償了客戶存款。
我們能夠分析最初攻擊後鏈上資金流向。我們將其分為兩個Chainalysis Reactor圖表如下所示。第一階段顯示,攻擊者將數百萬美元加密資產從DMM比特幣轉移到多箇中間地址,最終流向比特幣的CoinJoin混合服務。
利用CoinJoin混合服務成功混淆被盜資金後,攻擊者將部分資金透過多個橋接服務轉移到與柬埔寨綜合企業Huione Group合作的線上市場平臺Huione Guarantee。Huione Group此前被曝涉嫌助長網路犯罪。
由於駭客事件規模及其帶來的業務挑戰,DMM比特幣於2024年12月決定關閉交易所。該公司將資產和客戶賬戶轉移至日本金融集團SBI集團的子公司SBI VC Trade,預計將於2025年3月完成遷移。幸運的是,正如下一部分所詳述,新興工具和預測技術為預防此類破壞性駭客攻擊開闢了可能性。
利用預測模型阻止駭客攻擊
先進的預測技術透過實時檢測潛在風險和威脅,正在改變網路安全,為保護數字生態系統提供主動的方法。Chainalysis最近收購了Hexagate,這是一家領先的Web3安全解決方案提供商,可檢測和緩解網路攻擊、駭客、治理和財務風險等威脅。Hexagate的客戶已經透過基於實時威脅通知和自動響應的鏈上行動,防止了超過10億美元的客戶資產損失。
Hexagate利用其獨有的檢測技術和機器學習模型,實時預測和檢測整個區塊鏈網路中的異常交易和惡意活動。透過持續掃描智慧合約和交易,Hexagate的系統能在財務損失發生前識別可疑模式和潛在風險。以分散式流動性提供商UwU Lend為例。
2024年6月10日,攻擊者操縱價格預言機系統,利用UwU Lend約2000萬美元。攻擊者發起閃電貸攻擊,跨多個預言機操縱Ethena Staked USDe (sUSDe)的價格,導致錯誤估值。結果,攻擊者在7分鐘內借到數百萬美元。Hexagate在被惡意利用2天前就檢測到了攻擊合約。
儘管攻擊合約在被惡意利用前2天就被實時準確檢測到,但由於其設計,與被利用合約的關聯性並不明顯。如果有Hexagate的安全預言機等額外工具,就可以進一步利用這種早期檢測來緩解威脅。值得注意的是,導致820萬美元損失的初始攻擊發生在後續攻擊僅幾分鐘前,這是另一個重要訊號。
這種能在重大鏈上攻擊發生前發出警報的服務,有望極大地改變行業參與者的安全狀況,實現從應對高額駭客損失到預防的轉變。
下面的Chainalysis Reactor圖表顯示,攻擊者在將被盜資金轉移到OFAC制裁的以太坊智慧合約混合器Tornado Cash之前,透過兩個中間地址進行了資金轉移。
如果您有Reactor,可以在此檢視該圖表。
但需要注意的是,僅擁有這些預測模型並不能完全防止駭客攻擊,因為協議並不總是配備有效的適當工具。
需要強大的加密資產安全
2024年加密資產盜竊事件的增加,突顯了應對不斷複雜和進化的威脅的必要性。儘管加密資產盜竊規模尚未恢復到2021年和2022年的水平,但上述復甦凸顯了現有安全措施的缺口,以及適應新型利用方式的重要性。有效應對這些挑戰需要政府和行業的合作。資料共享倡議、實時安全解決方案、先進的追蹤工具以及有針對性的培訓,可以在構建加密資產所需的抗壓能力的同時,賦予利益相關方快速識別和中和惡意行為的能力。
隨著加密資產監管框架的不斷發展,對平臺安全性和客戶資產保護的監管將可能進一步加強。行業最佳實踐必須與此同步,確保預防和問責。加密資產行業可以透過促進與執法機構的更牢固合作,並組建擁有資源和專業知識的團隊,來加強對盜竊的防禦。這些努力不僅可以保護個人資產,還可以建立數字生態系統的長期信任和穩定性。
This website contains links to third-party sites that are not under the control of Chainalysis, Inc. or its affiliates (collectively "Chainalysis"). Access to such information does not imply association with, endorsement of, approval of, or recommendation by Chainalysis of the site or its operators, and Chainalysis is not responsible for the products, services, or other content hosted therein.
This material is for informational purposes only, and is not intended to provide legal, tax, financial, or investment advice. Recipients should consult their own advisors before making these types of decisions. Chainalysis has no responsibility or liability for any decision made or any other acts or omissions in connection with Recipient's use of this material.
Chainalysis does not guarantee or warrant the accuracy, completeness, timeliness, suitability or validity of the information in this report and will not be responsible for any claim attributable to errors, omissions, or other inaccuracies of any part of such material.
The post 2024年的加密資產盜竊總額達22億美元,但7月以後朝鮮的活動有所減緩,導致被盜金額在年底趨於平穩 appeared first on Chainalysis.
