Chainalysis: Hacker Triều Tiên đã làm gì với số tiền họ đánh cắp từ các nền tảng tiền điện tử?

Tiêu đề gốc: 2,2 tỷ đô la bị đánh cắp từ các nền tảng tiền điện tử vào năm 2024, nhưng khối lượng bị tấn công trì trệ vào cuối năm khi DPRK hoạt động chậm lại Sau tháng 7

Nguồn gốc: Chainalysis

Tổng hợp gốc: Tao Zhu, Golden Finance

Vẫn còn tấn công hack tiền điện tử một mối đe dọa đang diễn ra, số tiền điện tử trị giá hơn 1 tỷ đô la đã bị đánh cắp trong bốn trong mười năm qua (2018, 2021, 2022 và 2023). Năm 2024 đánh dấu năm thứ năm kể từ khi đạt được cột mốc đáng lo ngại này, nhấn mạnh rằng khi việc áp dụng tiền điện tử và giá cả tăng lên thì số tiền có thể bị đánh cắp cũng tăng theo.

Vào năm 2024, số tiền bị đánh cắp sẽ tăng khoảng 21,07% so với cùng kỳ năm trước lên 2,2 tỷ USD và số vụ hack riêng lẻ sẽ tăng từ 282 vụ vào năm 2023 lên 303 vào năm 2024. tăng lên.

Điều thú vị là cường độ hack tiền điện tử diễn ra vào khoảng nửa đầu năm nay năm Có điều gì đó đã thay đổi. Trong bản cập nhật tội phạm giữa năm, chúng tôi lưu ý rằng giá trị tích lũy bị đánh cắp từ tháng 1 đến tháng 7 năm 2024 đã lên tới 1,58 tỷ USD, cao hơn khoảng 84,4% so với giá trị bị đánh cắp trong cùng kỳ năm 2023. Như chúng ta có thể thấy trong biểu đồ bên dưới, hệ sinh thái dễ dàng đi đúng hướng vào cuối tháng 7, với năm sánh ngang với con số 3 tỷ USD của năm 2021 và 2022. Tuy nhiên, xu hướng trộm cắp tiền điện tử gia tăng vào năm 2024 đã chậm lại đáng kể sau tháng 7 và vẫn tương đối ổn định kể từ đó. Sau này, chúng ta sẽ khám phá những lý do địa chính trị tiềm tàng cho sự thay đổi này.

Xét về số lượng bị đánh cắp theo loại nền tảng nạn nhân, năm 2024 Các mô hình thú vị cũng xuất hiện trong năm. Trong hầu hết các quý từ năm 2021 đến năm 2023, nền tảng tài chính phi tập trung (DeFi) là mục tiêu chính của tin tặc tiền điện tử. Nền tảng DeFi có thể dễ bị tấn công hơn vì các nhà phát triển của chúng có xu hướng ưu tiên tăng trưởng nhanh chóng và đưa sản phẩm ra thị trường hơn là thực hiện các biện pháp bảo mật, khiến chúng trở thành mục tiêu hàng đầu của tin tặc.

Mặc dù DeFi vẫn chiếm tỷ trọng tài sản bị đánh cắp lớn nhất trong Quý 1 năm 2024, nhưng các dịch vụ tập trung lại là mục tiêu được nhắm tới nhiều nhất trong Quý 2 và Quý 3. Một số vụ hack dịch vụ tập trung đáng chú ý nhất bao gồm DMM Bitcoin (tháng 5 năm 2024; 305 triệu USD) và WazirX (tháng 7 năm 2024; 234,9 triệu USD).

Sự thay đổi trọng tâm từ DeFi sang các dịch vụ tập trung này nêu bật các cơ chế bảo mật thường được tin tặc sử dụng (chẳng hạn như như khóa riêng) ngày càng quan trọng. Vào năm 2024, các hành vi xâm phạm khóa riêng tư chiếm tỷ trọng lớn nhất trong số tiền điện tử bị đánh cắp với tỷ lệ 43,8%. Đối với các dịch vụ tập trung, việc giữ an toàn cho khóa riêng là rất quan trọng vì chúng kiểm soát quyền truy cập vào tài sản của người dùng. Với số lượng lớn tiền của người dùng được quản lý bởi các sàn giao dịch tập trung, tác động của vụ rò rỉ khóa riêng tư có thể rất nghiêm trọng; chúng ta chỉ cần xem xét vụ hack DMM Bitcoin trị giá 305 triệu USD, một trong những vụ vi phạm tiền điện tử lớn nhất cho đến nay và có thể xảy ra do quyền riêng tư kém; quản lý khóa hoặc thiếu bảo mật đầy đủ.

Sau khi rò rỉ khóa riêng, những kẻ độc hại thường sử dụng các sàn giao dịch phi tập trung (DEX), dịch vụ khai thác hoặc các dịch vụ trộn lẫn để rửa tiền bị đánh cắp, làm xáo trộn các dấu vết giao dịch và làm phức tạp việc theo dõi. Đến năm 2024, chúng ta có thể thấy hoạt động rửa tiền của các tin tặc khóa riêng khác biệt đáng kể so với hoạt động rửa tiền của các tin tặc tận dụng các vectơ tấn công khác. Ví dụ, sau khi đánh cắp khóa riêng, những hacker này thường chuyển sang các dịch vụ bắc cầu và kết hợp. Trong số các phương thức tấn công khác, sàn giao dịch phi tập trung được sử dụng phổ biến hơn cho các hoạt động rửa tiền.

Tin tặc Triều Tiên sẽ đánh cắp nhiều thứ từ nền tảng tiền điện tử vào năm 2024 hơn bao giờ hết Tất cả thời điểm đó

Các tin tặc có liên hệ với Triều Tiên nổi tiếng với các chiến thuật tinh vi và tàn nhẫn, thường sử dụng phần mềm độc hại tiên tiến, kỹ thuật xã hội và trộm tiền điện tử để tài trợ cho các hoạt động do nhà nước tài trợ. và né tránh các biện pháp trừng phạt quốc tế. Các quan chức Mỹ và quốc tế đã đánh giá rằng Bình Nhưỡng sử dụng tiền điện tử bị đánh cắp để tài trợ cho các chương trình vũ khí hủy diệt hàng loạt và tên lửa đạn đạo, gây nguy hiểm cho an ninh quốc tế. Đến năm 2023, các tin tặc có liên quan đến Triều Tiên sẽ đánh cắp khoảng 660,5 triệu USD trong 20 vụ; đến năm 2024, con số này tăng lên 1,34 tỷ USD sau 47 vụ, giá trị bị đánh cắp tăng 102,88%. Những con số này chiếm 61% tổng số tiền bị đánh cắp trong năm đó và 20% tổng số vụ việc.

Xin lưu ý rằng trong báo cáo năm ngoái, chúng tôi đã công bố thông tin rằng Triều Tiên đã đánh cắp 1 tỷ USD thông qua 20 cuộc tấn công mạng. Sau khi điều tra sâu hơn, chúng tôi xác định rằng một số vụ hack lớn trước đây được cho là do Triều Tiên thực hiện có thể không còn liên quan nên số tiền đã giảm xuống còn 660,5 triệu USD. Tuy nhiên, số lượng sự cố vẫn giữ nguyên khi chúng tôi phát hiện ra các vụ hack nhỏ hơn khác được cho là do Triều Tiên thực hiện. Mục tiêu của chúng tôi là liên tục đánh giá lại đánh giá của chúng tôi về các sự cố hack liên quan đến Triều Tiên khi chúng tôi thu được bằng chứng mới trên chuỗi và ngoài chuỗi.

Thật không may, các cuộc tấn công tiền điện tử của Triều Tiên dường như đang trở nên thường xuyên hơn. Trong biểu đồ bên dưới, chúng tôi kiểm tra thời gian trung bình giữa các cuộc tấn công thành công của DPRK dựa trên quy mô khai thác và thấy mức giảm qua từng năm ở tất cả các quy mô. Đáng chú ý, các cuộc tấn công trị giá từ 50 đến 100 triệu USD và hơn 100 triệu USD sẽ xảy ra thường xuyên hơn vào năm 2024 so với năm 2023, cho thấy Triều Tiên đang ngày càng giỏi hơn trong các cuộc tấn công quy mô lớn. Điều đó hoàn toàn trái ngược với hai năm trước, khi lợi nhuận có xu hướng dưới 50 triệu USD mỗi năm.

Khi so sánh hoạt động của Triều Tiên với tất cả hoạt động khác của hacker mà chúng tôi theo dõi vào thời điểm đó , rõ ràng là Triều Tiên đã chịu trách nhiệm cho hầu hết các cuộc tấn công quy mô lớn trong ba năm qua. Điều thú vị là các vụ hack của Triều Tiên có giá trị thấp hơn, đặc biệt là khoảng 10.000 USD và mật độ các vụ hack ngày càng tăng.

Một số sự cố này dường như có liên quan đến những người hành nghề CNTT ở Bắc Triều Tiên, những người đang ngày càng có nhiều cuộc xâm nhập vào các công ty tiền điện tử và Web3, làm tổn hại đến mạng, hoạt động và tính toàn vẹn của họ. Những nhân viên này thường sử dụng các chiến thuật, kỹ thuật và thủ tục (TTP) phức tạp như danh tính giả, thuê các cơ quan tuyển dụng bên thứ ba và thao túng các cơ hội làm việc từ xa để có được quyền truy cập. Trong vụ án mới nhất, Bộ Tư pháp Hoa Kỳ (DOJ) hôm thứ Tư đã truy tố 14 công dân Triều Tiên làm nghề CNTT từ xa tại Hoa Kỳ. Các công ty đã kiếm được hơn 88 triệu USD bằng cách đánh cắp thông tin độc quyền và tống tiền người sử dụng lao động.

Để giảm thiểu những rủi ro này, các công ty nên ưu tiên thẩm định kỹ lưỡng việc làm—bao gồm kiểm tra lý lịch và xác minh danh tính—đồng thời duy trì mức độ bảo mật khóa riêng mạnh mẽ để bảo vệ các Tài sản chính (nếu có). ).

quý IV, như thể hiện trong biểu đồ trước đó.

Cuối tháng 6 năm 2024, Tổng thống Nga Vladimir Putin và nhà lãnh đạo Triều Tiên Kim Jong Liên Hợp Quốc cũng sẽ tổ chức hội nghị thượng đỉnh ở Bình Nhưỡng để ký thỏa thuận phòng thủ chung. Tính đến thời điểm hiện tại trong năm nay, Nga đã giải phóng hàng triệu USD tài sản của Triều Tiên bị phong tỏa trước đây theo lệnh trừng phạt của Hội đồng Bảo an Liên hợp quốc, báo hiệu một liên minh ngày càng tăng giữa hai nước. Trong khi đó, Triều Tiên đã triển khai quân tới Ukraine, cung cấp tên lửa đạn đạo cho Nga và được cho là đang tìm kiếm công nghệ vũ trụ, tên lửa và tàu ngầm tiên tiến từ Moscow.

Nếu so sánh tổn thất trung bình hàng ngày do các lỗ hổng của DPRK trước và sau ngày 1 tháng 7 năm 2024, chúng ta có thể thấy số lượng giá trị bị đánh cắp đã giảm đáng kể. Như thể hiện trong biểu đồ bên dưới, số tiền bị đánh cắp bởi Triều Tiên sau đó đã giảm khoảng 53,73%, trong khi số tiền bị đánh cắp bởi các nước không thuộc Triều Tiên tăng khoảng 5%. Do đó, ngoài việc chuyển nguồn lực quân sự sang cuộc xung đột ở Ukraine, Triều Tiên, quốc gia đã tăng cường hợp tác đáng kể với Nga trong những năm gần đây, cũng có thể đã thay đổi các hoạt động tội phạm mạng.

Số vụ trộm cắp ở Triều Tiên giảm sau ngày 1 tháng 7 năm 2024 là rõ ràng và đúng thời điểm. nhưng đáng chú ý là sự suy giảm này không nhất thiết liên quan đến chuyến thăm Bình Nhưỡng của Putin. Ngoài ra, một số sự kiện trong tháng 12 có thể thay đổi mô hình này vào cuối năm và những kẻ tấn công thường tiến hành các cuộc tấn công trong kỳ nghỉ lễ.

Nghiên cứu điển hình: Cuộc tấn công của Triều Tiên vào DMM Bitcoin

Các tin tặc có liên hệ với Triều Tiên vào năm 2024 Một ví dụ nổi tiếng về cuộc tấn công liên quan đến sàn giao dịch tiền điện tử DMM Bitcoin của Nhật Bản, đã bị hack, dẫn đến mất khoảng 4.502,9 Bitcoin, trị giá 305 triệu USD vào thời điểm đó. Những kẻ tấn công nhắm vào các lỗ hổng trong cơ sở hạ tầng được DMM sử dụng, dẫn đến việc rút tiền trái phép. Đáp lại, DMM, với sự hỗ trợ của các công ty trong tập đoàn, đã thanh toán đầy đủ số tiền đặt cọc của khách hàng bằng cách tìm nguồn tiền tương đương.

Chúng tôi đã có thể phân tích dòng tiền trên chuỗi sau cuộc tấn công ban đầu và trong giai đoạn đầu tiên, chúng tôi thấy những kẻ tấn công đã di chuyển số tiền điện tử trị giá hàng triệu đô la ra khỏi DMM Bitcoin được chuyển đến một số địa chỉ trung gian trước khi đến máy chủ trộn Bitcoin CoinJoin.

Sau khi trộn thành công số tiền bị đánh cắp bằng dịch vụ trộn Bitcoin CoinJoin, cuộc tấn công The các nhà đầu tư đã chuyển một số vốn thông qua một số dịch vụ bắc cầu tới Huioneguarantee, một thị trường trực tuyến liên kết với tập đoàn Huione Group của Campuchia, một công ty lớn trong lĩnh vực này. Tạo điều kiện thuận lợi cho tội phạm mạng.

DMM Bitcoin đã chuyển tài sản và tài khoản khách hàng của mình cho tập đoàn tài chính Nhật Bản SBI For công ty con SBI VC Trade của tập đoàn, quá trình chuyển đổi dự kiến sẽ hoàn thành vào tháng 3 năm 2025. May mắn thay, các công cụ và kỹ thuật dự đoán mới nổi đang xuất hiện mà chúng tôi sẽ khám phá trong phần tiếp theo để giúp bạn chuẩn bị ngăn chặn những vụ hack phá hoại như vậy xảy ra.

Sử dụng các mô hình dự đoán để ngăn chặn tin tặc

Công nghệ dự đoán tiên tiến phát hiện các rủi ro và mối đe dọa tiềm ẩn, là chuyển đổi an ninh mạng, cung cấp cách tiếp cận chủ động để bảo vệ hệ sinh thái kỹ thuật số. Hãy xem ví dụ bên dưới, liên quan đến nhà cung cấp thanh khoản phi tập trung UwU Lend.

Vào ngày 10 tháng 6 năm 2024, những kẻ tấn công đã kiếm được khoảng 20 triệu USD tiền bằng cách thao túng hệ thống tiên đoán giá của UwU Lend. Kẻ tấn công đã phát động một cuộc tấn công cho vay nhanh để thay đổi giá của ETHe Staked USDe (sUSDe) trên nhiều oracle, dẫn đến việc định giá không chính xác. Kết quả là kẻ tấn công có thể vay hàng triệu đô la chỉ trong bảy phút. Hexagate đã phát hiện hợp đồng tấn công và cách triển khai tương tự của nó khoảng hai ngày trước khi khai thác.

Mặc dù hợp đồng tấn công đã được phát hiện chính xác trong thời gian thực hai ngày trước khi lỗ hổng bị khai thác, nhưng mối liên hệ của nó với hợp đồng bị khai thác không rõ ràng ngay lập tức do thiết kế của nó. Khả năng phát hiện sớm này có thể được tận dụng hơn nữa để giảm thiểu các mối đe dọa bằng các công cụ bổ sung như dự báo bảo mật của Hexagate. Đáng chú ý, cuộc tấn công đầu tiên gây thiệt hại 8,2 triệu USD, xảy ra vài phút trước các cuộc tấn công tiếp theo, cung cấp một tín hiệu quan trọng khác.

Những cảnh báo như vậy trước các cuộc tấn công lớn trên chuỗi có khả năng thay đổi vấn đề bảo mật cho những người chơi trong ngành, cho phép họ ngăn chặn hoàn toàn các vụ hack tốn kém mà không cần phản ứng lại.

Trong hình ảnh bên dưới, chúng ta thấy rằng kẻ tấn công đã nhận được OFAC được phê duyệt Bộ trộn hợp đồng thông minh Ethereum Tornado Cash trước đây đã chuyển số tiền bị đánh cắp thông qua hai địa chỉ trung gian.

Tuy nhiên, điều đáng chú ý là việc chỉ tiếp cận các mô hình dự đoán này không đảm bảo Bảo vệ khỏi các cuộc tấn công của hacker, vì các giao thức có thể không phải lúc nào cũng có công cụ thích hợp để thực hiện hành động một cách hiệu quả.

Cần bảo mật mật mã mạnh mẽ hơn

Sự gia tăng số lượng tiền điện tử bị đánh cắp được nhấn mạnh vào năm 2024 Ngành công nghiệp cần phải ứng phó với bối cảnh mối đe dọa ngày càng phức tạp và ngày càng phát triển. Mặc dù quy mô của hành vi trộm cắp tiền điện tử vẫn chưa quay trở lại mức năm 2021 và 2022, nhưng sự trỗi dậy trở lại nêu trên đã làm nổi bật những lỗ hổng trong các biện pháp bảo mật hiện có và tầm quan trọng của việc thích ứng với các phương pháp khai thác mới. Để giải quyết hiệu quả những thách thức này, sự hợp tác giữa khu vực công và tư nhân là rất quan trọng. Các chương trình chia sẻ dữ liệu, giải pháp bảo mật thời gian thực, công cụ theo dõi nâng cao và đào tạo có mục tiêu có thể cho phép các bên liên quan nhanh chóng xác định và vô hiệu hóa các tác nhân độc hại đồng thời xây dựng khả năng phục hồi cần thiết để bảo vệ tài sản tiền điện tử.

Ngoài ra, khi khung pháp lý dành cho tiền điện tử tiếp tục phát triển, việc giám sát an ninh nền tảng và bảo vệ tài sản của khách hàng có thể sẽ tăng lên. Các phương pháp thực hành tốt nhất trong ngành phải theo kịp những thay đổi này để đảm bảo phòng ngừa và giải trình. Bằng cách xây dựng mối quan hệ đối tác mạnh mẽ hơn với cơ quan thực thi pháp luật và cung cấp cho các nhóm nguồn lực và kiến thức chuyên môn để phản ứng nhanh chóng, ngành công nghiệp tiền điện tử có thể tăng cường khả năng ngăn chặn hành vi trộm cắp của mình. Những nỗ lực này rất quan trọng không chỉ để bảo vệ tài sản cá nhân mà còn xây dựng niềm tin và sự ổn định lâu dài trong hệ sinh thái kỹ thuật số.

Liên kết gốc