Chainalysis: Hacker Triều Tiên đã làm gì với số tiền họ đánh cắp từ các nền tảng tiền điện tử

Nguồn: Chainalysis; Được biên soạn bởi: Tao Zhu, Golden Finance

Tấn công tiền điện tử vẫn là một mối đe dọa đang diễn ra, với số tiền điện tử trị giá hơn 1 tỷ đô la bị tấn công trong bốn vụ cướp trong thập kỷ qua (2018, 2021). , 2022 và 2023). Năm 2024 đánh dấu năm thứ năm kể từ khi đạt được cột mốc đáng lo ngại này, nhấn mạnh rằng khi việc áp dụng tiền điện tử và giá cả tăng lên thì số tiền có thể bị đánh cắp cũng tăng theo.

Vào năm 2024, số tiền bị đánh cắp sẽ tăng khoảng 21,07% so với cùng kỳ năm ngoái lên 2,2 tỷ USD và số vụ hack riêng lẻ sẽ tăng từ Số vụ tăng từ 282 vụ vào năm 2023 lên 303 vụ vào năm 2024.

Điều thú vị là, cường độ của các cuộc tấn công hack tiền điện tử đã thay đổi vào khoảng nửa đầu năm nay. Trong bản cập nhật tội phạm giữa năm, chúng tôi lưu ý rằng giá trị tích lũy bị đánh cắp từ tháng 1 đến tháng 7 năm 2024 đã lên tới 1,58 tỷ USD, cao hơn khoảng 84,4% so với giá trị bị đánh cắp trong cùng kỳ năm 2023. Như chúng ta có thể thấy trong biểu đồ bên dưới, hệ sinh thái dễ dàng đi đúng hướng vào cuối tháng 7, với năm sánh ngang với con số 3 tỷ USD của năm 2021 và 2022. Tuy nhiên,xu hướng gia tăng về hành vi trộm cắp tiền điện tử vào năm 2024 đã chậm lại đáng kể sau tháng 7 và vẫn tương đối ổn định kể từ đó. Sau này, chúng ta sẽ khám phá những lý do địa chính trị tiềm tàng cho sự thay đổi này.

Các mô hình thú vị cũng xuất hiện vào năm 2024 về số tiền bị đánh cắp theo loại nền tảng nạn nhân. Trong hầu hết các quý từ năm 2021 đến năm 2023, nền tảng tài chính phi tập trung (DeFi) là mục tiêu chính của tin tặc tiền điện tử. Nền tảng DeFi có thể dễ bị tấn công hơn vì các nhà phát triển của chúng có xu hướng ưu tiên tăng trưởng nhanh chóng và đưa sản phẩm ra thị trường hơn là thực hiện các biện pháp bảo mật, khiến chúng trở thành mục tiêu hàng đầu của tin tặc.

Mặc dù DeFi vẫn chiếm tỷ trọng tài sản bị đánh cắp lớn nhất trong quý đầu tiên năm 2024, nhưng các dịch vụ tập trung lại là mục tiêu được nhắm tới nhiều nhất trong quý hai và quý ba. Một số vụ hack dịch vụ tập trung đáng chú ý nhất bao gồm DMM Bitcoin (tháng 5 năm 2024; 305 triệu USD) và WazirX (tháng 7 năm 2024; 234,9 triệu USD).

Trọng tâm này bắt đầu từ DeFi Việc chuyển sang các dịch vụ tập trung làm nổi bật tầm quan trọng ngày càng tăng của các cơ chế bảo mật thường được tin tặc sử dụng, chẳng hạn như khóa riêng. Vào năm 2024, các hành vi xâm phạm khóa riêng tư chiếm tỷ trọng lớn nhất trong số tiền điện tử bị đánh cắp với tỷ lệ 43,8%. Đối với các dịch vụ tập trung, việc giữ an toàn cho khóa riêng là rất quan trọng vì chúng kiểm soát quyền truy cập vào tài sản của người dùng. Với số lượng lớn tiền của người dùng được quản lý bởi các sàn giao dịch tập trung, tác động của vụ rò rỉ khóa riêng tư có thể rất nghiêm trọng; chúng ta chỉ cần xem xét vụ hack DMM Bitcoin trị giá 305 triệu USD, một trong những vụ vi phạm tiền điện tử lớn nhất cho đến nay và có thể xảy ra do quyền riêng tư kém; quản lý khóa hoặc thiếu bảo mật đầy đủ.

Rò rỉ khóa riêng Cuối cùng, những kẻ độc hại thường sử dụng các sàn giao dịch phi tập trung để (DEX), dịch vụ khai thác hoặc dịch vụ trộn để rửa tiền bị đánh cắp, làm xáo trộn dấu vết giao dịch và làm phức tạp việc theo dõi. Đến năm 2024, chúng ta có thể thấy hoạt động rửa tiền của các tin tặc khóa riêng khác biệt đáng kể so với hoạt động rửa tiền của các tin tặc tận dụng các vectơ tấn công khác. Ví dụ, sau khi đánh cắp khóa riêng, những tin tặc này thường chuyển sang các dịch vụ bắc cầu và kết hợp. Trong số các phương thức tấn công khác, sàn giao dịch phi tập trung được sử dụng phổ biến hơn cho các hoạt động rửa tiền.

2024 Tin tặc Triều Tiên sẽ đánh cắp nhiều thứ từ các nền tảng tiền điện tử hơn bao giờ hết và đánh cắp tiền điện tử để tài trợ cho các hoạt động do nhà nước tài trợ và lách các lệnh trừng phạt quốc tế. Các quan chức Mỹ và quốc tế đã đánh giá rằng Bình Nhưỡng sử dụng tiền điện tử bị đánh cắp để tài trợ cho các chương trình vũ khí hủy diệt hàng loạt và tên lửa đạn đạo, gây nguy hiểm cho an ninh quốc tế. Đến năm 2023, các tin tặc có liên hệ với Triều Tiên sẽ đánh cắp khoảng 660,5 triệu USD qua 20 vụ; đến năm 2024, con số đó sẽ là 47 vụ. lên 1,34 tỷ USD và giá trị bị đánh cắp tăng 102,88%. Những con số này chiếm 61% tổng số tiền bị đánh cắp trong năm đó và 20% tổng số vụ việc.

Xin lưu ý rằng trong báo cáo năm ngoái, chúng tôi đã công bố thông tin rằng Triều Tiên đã đánh cắp 1 tỷ USD thông qua 20 cuộc tấn công hack. Sau khi điều tra sâu hơn, chúng tôi xác định rằng một số vụ hack lớn trước đây được cho là do Triều Tiên thực hiện có thể không còn liên quan nên số tiền đã giảm xuống còn 660,5 triệu USD. Tuy nhiên, số lượng sự cố vẫn giữ nguyên khi chúng tôi phát hiện ra các vụ hack nhỏ hơn khác được cho là do Triều Tiên thực hiện. Mục tiêu của chúng tôi là liên tục đánh giá lại đánh giá của chúng tôi về các sự cố hack liên quan đến Triều Tiên khi chúng tôi thu được bằng chứng mới trên chuỗi và ngoài chuỗi.

Thật không may, Bắc Triều Tiên các cuộc tấn công tiền điện tử dường như đang trở nên thường xuyên hơn. Trong biểu đồ bên dưới, chúng tôi kiểm tra thời gian trung bình giữa các cuộc tấn công thành công của DPRK dựa trên quy mô khai thác và thấy mức giảm qua từng năm ở tất cả các quy mô. Điều đáng chú ý là các cuộc tấn công trị giá từ 50 đến 100 triệu USD và 100 triệu USD trở lên sẽ xảy ra thường xuyên hơn nhiều vào năm 2024 so với năm 2023. Điều đó cho thấy rằng Triều Tiên ngày càng giỏi hơn trong các cuộc tấn công quy mô lớn. Điều đó hoàn toàn trái ngược với hai năm trước, khi lợi nhuận có xu hướng dưới 50 triệu USD mỗi năm.

Khi so sánh hoạt động của Triều Tiên với tất cả các hoạt động tin tặc khác mà chúng tôi theo dõi, rõ ràng là ;">Triều Tiên đã chịu trách nhiệm cho hầu hết các cuộc tấn công quy mô lớn trên toàn thế giới. ba năm qua. Điều thú vị là các tin tặc Triều Tiên đang nhắm mục tiêu vào số tiền thấp hơn, đặc biệt là khoảng 10.000 USD và mật độ các vụ hack ngày càng tăng.

Một số sự kiện trong số này dường như là CNTT với Bắc Triều Tiên Những người thực hành đang ngày càng thâm nhập vào các công ty tiền điện tử và Web3, làm tổn hại đến mạng lưới, hoạt động và tính toàn vẹn của họ. Những nhân viên này thường sử dụng các chiến thuật, kỹ thuật và thủ tục (TTP) phức tạp như danh tính giả, thuê các cơ quan tuyển dụng bên thứ ba và thao túng các cơ hội làm việc từ xa để có được quyền truy cập. Trong vụ án mới nhất, Bộ Tư pháp Hoa Kỳ (DOJ) hôm thứ Tư đã truy tố 14 công dân Triều Tiên làm công việc hành nghề CNTT từ xa tại Hoa Kỳ. Các công ty đã kiếm được hơn 88 triệu USD bằng cách đánh cắp thông tin độc quyền và tống tiền người sử dụng lao động.

Để giảm thiểu những rủi ro này, các công ty nên ưu tiên thẩm định kỹ lưỡng việc làm—bao gồm kiểm tra lý lịch và xác minh danh tính—đồng thời duy trì mức độ bảo mật mạnh mẽ cho khóa riêng tư để bảo vệ các tài sản quan trọng, nếu có.

Mặc dù tất cả các xu hướng này đều cho thấy Triều Tiên hoạt động rất tích cực trong năm nay, nhưng hầu hết các cuộc tấn công của nước này đều xảy ra vào đầu năm, với hoạt động hack tổng thể bị đình trệ trong quý 3 và quý 4, như thể hiện trong biểu đồ trước đó .

2024 6 Cuối tháng này, Tổng thống Nga Vladimir Putin và nhà lãnh đạo Triều Tiên Kim Jong-un cũng sẽ tổ chức hội nghị thượng đỉnh ở Bình Nhưỡng để ký thỏa thuận phòng thủ chung. Tính đến thời điểm hiện tại trong năm nay, Nga đã giải phóng hàng triệu USD tài sản của Triều Tiên bị phong tỏa trước đây theo lệnh trừng phạt của Hội đồng Bảo an Liên hợp quốc, báo hiệu một liên minh ngày càng tăng giữa hai nước. Trong khi đó, Triều Tiên đã triển khai quân tới Ukraine, cung cấp tên lửa đạn đạo cho Nga và được cho là đang tìm kiếm công nghệ vũ trụ, tên lửa và tàu ngầm tiên tiến từ Moscow.

Nếu so sánh tổn thất trung bình hàng ngày do các lỗ hổng của DPRK trước và sau ngày 1 tháng 7 năm 2024, chúng ta có thể thấy số lượng giá trị bị đánh cắp đã giảm đáng kể. Như thể hiện trong hình bên dưới, số tiền bị đánh cắp bởi Triều Tiên sau đó đã giảm khoảng 53,73%, trong khi số tiền bị đánh cắp bởi các nước không thuộc Triều Tiên tăng khoảng 5%. Vì vậy,Ngoài việc chuyển nguồn lực quân sự sang cuộc xung đột ở Ukraine, Triều Tiên, vốn đã tăng cường hợp tác đáng kể với Nga trong những năm gần đây, cũng có thể đã thay đổi các hoạt động tội phạm mạng của mình.

Ngày 1 tháng 7 năm 2024 Sự suy giảm nạn trộm cắp ở Triều Tiên thời hậu Nhật Bản là rõ ràng và thời điểm cũng rõ ràng, nhưng điều đáng chú ý là sự suy giảm này không nhất thiết gắn liền với chuyến thăm Bình Nhưỡng của Putin. Ngoài ra, một số sự kiện trong tháng 12 có thể thay đổi mô hình này vào cuối năm và những kẻ tấn công thường tiến hành các cuộc tấn công trong kỳ nghỉ lễ.

Nghiên cứu điển hình: Cuộc tấn công của Triều Tiên vào DMM Bitcoin

Một trong những cuộc tấn công hack có liên quan đến Triều Tiên vào năm 2024 Một ví dụ nổi tiếng liên quan đến sàn giao dịch tiền điện tử DMM Bitcoin của Nhật Bản, đã bị hack, dẫn đến mất khoảng 4.502,9 Bitcoin, trị giá 305 triệu USD vào thời điểm đó. Những kẻ tấn công nhắm vào các lỗ hổng trong cơ sở hạ tầng được DMM sử dụng, dẫn đến việc rút tiền trái phép. Đáp lại, DMM, với sự hỗ trợ của công ty trong tập đoàn, đã thanh toán đầy đủ tiền đặt cọc của khách hàng bằng cách tìm nguồn tiền tương đương.

Chúng tôi có thể phân tích dòng tiền trên chuỗi sau cuộc tấn công đầu tiên, chúng tôi thấy kẻ tấn công chuyển tiền điện tử trị giá hàng triệu đô la từ DMM Bitcoin đến một số địa chỉ trung gian và cuối cùng là cuối cùng. Tiếp cận máy chủ trộn Bitcoin CoinJoin.

Sử dụng Bitcoin CoinJoin Sau khi dịch vụ trộn thành công số tiền bị đánh cắp, những kẻ tấn công đã chuyển một số tiền thông qua một số dịch vụ bắc cầu đến Huioneguarantee, một thị trường trực tuyến liên kết với tập đoàn Huione Group của Campuchia, một công ty lớn trong lĩnh vực này. Tạo điều kiện thuận lợi cho tội phạm mạng.

DMM Bitcoin đã được Tài sản và tài khoản khách hàng của nó được chuyển sang tập đoàn tài chính Nhật Bản SBI Đối với SBI VC Trade, một công ty con của tập đoàn, quá trình chuyển đổi dự kiến ​​sẽ hoàn thành vào tháng 3 năm 2025. May mắn thay, các công cụ và kỹ thuật dự đoán mới nổi đang xuất hiện mà chúng tôi sẽ khám phá trong phần tiếp theo để giúp bạn chuẩn bị ngăn chặn những vụ hack phá hoại như vậy xảy ra.

Sử dụng các mô hình dự đoán để ngăn chặn các cuộc tấn công của hacker

Công nghệ dự đoán tiên tiến đang được cải tiến bằng cách phát hiện các rủi ro và mối đe dọa tiềm ẩn trong thời gian thực Chuyển đổi an ninh mạng, cung cấp cách tiếp cận chủ động để bảo vệ hệ sinh thái kỹ thuật số. Hãy xem ví dụ bên dưới, liên quan đến nhà cung cấp thanh khoản phi tập trung UwU Lend.

Vào ngày 10 tháng 6 năm 2024, những kẻ tấn công đã kiếm được khoảng 20 triệu USD bằng cách thao túng hệ thống dự báo giá của UwU Lend. Kẻ tấn công đã phát động một cuộc tấn công cho vay nhanh để thay đổi giá của ETHe Staked USDe (sUSDe) trên nhiều oracle, dẫn đến việc định giá không chính xác. Kết quả là kẻ tấn công có thể vay hàng triệu đô la chỉ trong bảy phút. Hexagate đã phát hiện hợp đồng tấn công và cách triển khai tương tự của nó khoảng hai ngày trước khi khai thác.

Mặc dù hợp đồng tấn công đã được phát hiện chính xác trong thời gian thực hai ngày trước khi lỗ hổng bị khai thác, nhưng mối liên hệ của nó với hợp đồng bị khai thác không rõ ràng ngay lập tức do thiết kế của nó. Khả năng phát hiện sớm này có thể được tận dụng hơn nữa để giảm thiểu các mối đe dọa bằng các công cụ bổ sung như dự báo bảo mật của Hexagate. Đáng chú ý, cuộc tấn công đầu tiên gây thiệt hại 8,2 triệu USD, xảy ra vài phút trước các cuộc tấn công tiếp theo, cung cấp một tín hiệu quan trọng khác.

Những cảnh báo như vậy được đưa ra trước các cuộc tấn công lớn trên chuỗi có khả năng thay đổi mức độ bảo mật của những người tham gia trong ngành, cho phép họ ngăn chặn hoàn toàn các vụ hack tốn kém thay vì phản ứng lại chúng.

Trong hình bên dưới , Chúng tôi đang chứng kiến ​​những kẻ tấn công sau khi tiền đến tay OFAC Bộ trộn hợp đồng thông minh Ethereum đã được phê duyệt Tornado Cash trước đây đã chuyển số tiền bị đánh cắp thông qua hai địa chỉ trung gian.

Tuy nhiên, cần lưu ý rằng việc chỉ truy cập vào các mô hình dự đoán này không đảm bảo khả năng bảo vệ khỏi tin tặc vì các giao thức có thể không phải lúc nào cũng có công cụ thích hợp để thực hiện hành động một cách hiệu quả.

Cần bảo mật mật mã mạnh mẽ hơn

Sự gia tăng số lượng tiền điện tử bị đánh cắp vào năm 2024 Nêu bật nhu cầu về ngành để ứng phó với bối cảnh mối đe dọa ngày càng phức tạp và ngày càng phát triển. Mặc dù quy mô của hành vi trộm cắp tiền điện tử vẫn chưa quay trở lại mức năm 2021 và 2022, nhưng sự trỗi dậy trở lại nêu trên đã làm nổi bật những lỗ hổng trong các biện pháp bảo mật hiện có và tầm quan trọng của việc thích ứng với các phương pháp khai thác mới. Để giải quyết hiệu quả những thách thức này, sự hợp tác giữa khu vực công và tư nhân là rất quan trọng. Các chương trình chia sẻ dữ liệu, giải pháp bảo mật thời gian thực, công cụ theo dõi nâng cao và đào tạo có mục tiêu có thể cho phép các bên liên quan nhanh chóng xác định và vô hiệu hóa các tác nhân độc hại đồng thời xây dựng khả năng phục hồi cần thiết để bảo vệ tài sản tiền điện tử.

Ngoài ra, khi khung pháp lý về tiền điện tử tiếp tục phát triển, việc giám sát an ninh nền tảng và bảo vệ tài sản của khách hàng có thể sẽ tăng lên. Các phương pháp thực hành tốt nhất trong ngành phải theo kịp những thay đổi này để đảm bảo phòng ngừa và giải trình. Bằng cách xây dựng mối quan hệ đối tác mạnh mẽ hơn với cơ quan thực thi pháp luật và cung cấp cho các nhóm nguồn lực và kiến ​​thức chuyên môn để phản ứng nhanh chóng, ngành công nghiệp tiền điện tử có thể tăng cường khả năng ngăn chặn hành vi trộm cắp của mình. Những nỗ lực này rất quan trọng không chỉ để bảo vệ tài sản cá nhân mà còn xây dựng niềm tin và sự ổn định lâu dài trong hệ sinh thái kỹ thuật số.