Chainalysis：朝鮮黑客從加密平台竊取的錢都幹什么了？

發表於 2024-12-20 11:41 作者： 金色財經

來源：Chainalysis；編譯：陶朱，金色財經

加密貨幣黑客攻擊仍然是一個持續存在的威脅，過去十年中的四年，價值超過 10 億美元的加密貨幣被盜（2018 年、2021 年、2022 年和 2023 年）。 2024 年是達到這一令人不安的裏程碑的第五年，突顯出隨着加密貨幣的採用和價格的上漲，可被盜的金額也在增加。

2024年，被盜資金同比增長約21.07%，達到22億美元，個人黑客事件數量從2023年的282起增加到2024年的303起。

有趣的是，加密貨幣黑客攻擊的強度在今年上半年左右發生了變化。在我們的年中罪案更新中，我們注意到在2024年1月至2024年7月期間被盜的累積價值已經達到15.8億元，比2023年同期的被盜價值高出約84.4%。正如我們在下面的圖表中看到的，到7月底，生態系統很容易走上正軌，這一年可以與2021年和2022年的30多億美元相媲美。然而，2024年的加密貨幣被盜上升趨勢在7月之後明顯放緩，之後保持相對穩定。稍後，我們將探討這種變化的潛在地緣政治原因。

就按受害者平台類型劃分的被盜金額而言，2024 年也出現了有趣的模式。在 2021 年至 2023 年的大多數季度中，去中心化金融（DeFi）平台是加密貨幣黑客的主要目標。 DeFi 平台可能更容易受到攻擊，因爲它們的开發人員傾向於優先考慮快速增長並將產品推向市場，而不是實施安全措施，這使它們成爲黑客的主要目標。

盡管 2024 年第一季度 DeFi 仍佔被盜資產的最大份額，但中心化服務在第二季度和第三季度是最有針對性的。一些最著名的中心化服務黑客攻擊包括 DMM Bitcoin（2024 年 5 月；3.05 億美元）和 WazirX（2024 年 7 月；2.349 億美元）。

這種焦點從 DeFi 向中心化服務的轉變凸顯了黑客常用的安全機制（例如私鑰）的重要性日益增加。 2024 年，私鑰泄露在被盜加密貨幣中所佔比例最大，達到 43.8%。對於中心化服務而言，確保私鑰的安全至關重要，因爲它們控制對用戶資產的訪問。鑑於中心化交易所管理大量用戶資金，私鑰泄露的影響可能是毀滅性的；我們只需看看價值 3.05 億美元的 DMM Bitcoin黑客事件，這是迄今爲止最大的加密貨幣漏洞之一，可能是由於私鑰管理不善或缺乏足夠的安全性而發生的。

在泄露私鑰後，惡意行爲者通常會通過去中心化交易所 (DEX)、挖礦服務或混合服務來洗錢被盜資金，從而混淆交易軌跡並使追蹤復雜化。到 2024 年，我們可以看到私鑰黑客的洗錢活動與利用其他攻擊媒介的黑客的洗錢活動有很大不同。例如，在竊取私鑰後，這些黑客經常轉向橋接和混合服務。對於其他攻擊媒介，去中心化交易所更常用於洗錢活動。

2024 年，朝鮮黑客從加密平台竊取的金額將比以往任何時候都多

與朝鮮有關的黑客因其復雜而無情的手段而臭名昭著，他們經常利用先進的惡意軟件、社會工程和加密貨幣盜竊來爲國家資助的行動提供資金並規避國際制裁。美國和國際官員評估認爲，平壤利用竊取的加密貨幣爲其大規模殺傷性武器和彈道導彈計劃提供資金，危及國際安全。到 2023 年，與朝鮮有關的黑客將通過 20 起事件竊取約 6.605 億美元；到 2024 年，這一數字在 47 起事件中增加到 13.4 億美元，被盜價值增加了 102.88%。這些數字佔當年被盜總金額的 61%，佔事件總數的 20%。

請注意，在去年的報告中，我們發布了朝鮮通過 20 次黑客攻擊竊取了 10 億美元的信息。經過進一步調查，我們確定之前歸因於朝鮮的某些大型黑客攻擊可能不再相關，因此金額減少至 6.605 億美元。然而，事件數量保持不變，因爲我們發現了歸因於朝鮮的其他較小的黑客攻擊。當我們獲得新的鏈上和鏈下證據時，我們的目標是不斷重新評估我們對與朝鮮有關的黑客事件的評估。

不幸的是，朝鮮的加密貨幣攻擊似乎變得越來越頻繁。在下圖中，我們根據漏洞利用規模檢查了 DPRK 攻擊成功之間的平均時間，發現各種規模的攻擊均同比下降。值得注意的是，2024 年價值 50 至 1 億美元以及 1 億美元以上的攻擊發生頻率遠高於 2023 年，這表明朝鮮在大規模攻擊方面做得越來越好、越來越快。這與前兩年形成鮮明對比，前兩年其每次的利潤往往低於 5000 萬美元。

在將朝鮮的活動與我們監測的所有其他黑客活動進行比較時，很明顯，朝鮮在過去三年中一直對大多數大規模攻擊負有責任。有趣的是，朝鮮黑客攻擊的金額較低，尤其是價值 10,000 美元左右的黑客攻擊密度也不斷增加。

其中一些事件似乎與朝鮮 IT 從業者有關，他們越來越多地滲透到加密貨幣和 Web3 公司，損害了他們的網絡、運營和完整性。這些員工經常使用復雜的策略、技術和程序 (TTP)，例如虛假身份、僱用第三方招聘中介以及操縱遠程工作機會來獲取訪問權限。在最近的一個案例中，美國美國司法部 (DOJ) 周三起訴了 14 名在美國擔任遠程 IT 從業者的朝鮮國民。公司通過竊取專有信息和勒索僱主賺取了超過 8800 萬美元。

爲了減輕這些風險，公司應優先考慮徹底的僱傭盡職調查——包括背景調查和身份驗證——同時保持強大的私鑰安全以保護關鍵資產（如果適用）。

盡管所有這些趨勢都表明朝鮮今年非常活躍，但其大部分攻擊發生在年初，整體黑客活動在第三季度和第四季度陷入停滯，如早先的圖表所示。

2024 年 6 月下旬，俄羅斯總統弗拉基米爾·普京和朝鮮領導人金正恩也將在平壤舉行峰會，籤署共同防御協議。今年到目前爲止，俄羅斯根據聯合國安理會的制裁釋放了先前凍結的數百萬美元的朝鮮資產，這標志着兩國聯盟的不斷發展。與此同時，朝鮮已向烏克蘭部署軍隊，向俄羅斯提供彈道導彈，據報道還向莫斯科尋求先進的太空、導彈和潛艇技術。

如果我們對比 2024 年 7 月 1 日之前和之後 DPRK 漏洞的日均損失，我們可以看到被盜價值的金額顯著下降。具體如下圖所示，之後朝鮮竊取的金額下降了約53.73%，而非朝鮮竊取的金額則增加了約5%。因此，除了將軍事資源轉向烏克蘭衝突之外，近年來大幅加強與俄羅斯合作的朝鮮也可能改變了其網絡犯罪活動。

2024 年 7 月 1 日之後朝鮮竊取資金的下降是顯而易見的，時機也很明顯，但值得注意的是，這種下降不一定與普京訪問平壤有關。此外，12 月發生的一些事件可能會在年底改變這種模式，而且攻擊者經常會在假期期間發動襲擊。

案例研究：朝鮮對 DMM Bitcoin 的攻擊

2024 年與朝鮮有關的黑客攻擊的一個著名例子涉及日本加密貨幣交易所 DMM Bitcoin，該交易所遭受黑客攻擊，導致約 4,502.9 個比特幣損失，當時價值 3.05 億美元。攻擊者針對 DMM 使用的基礎設施中的漏洞，導致未經授權的提款。對此，DMM在集團公司的支持下，通過尋找等值資金來全額支付客戶存款。

我們能夠分析初始攻擊後鏈上的資金流動，在第一階段，我們看到攻擊者將價值數百萬美元的加密貨幣從 DMM Bitcoin 轉移到幾個中間地址，然後最終到達Bitcoin CoinJoin 混合服務器。

在使用比特幣 CoinJoin 混合服務成功混合被盜資金後，攻擊者通過一些橋接服務將部分資金轉移到 Huioneguarantee，這是一個與柬埔寨企業集團 Huione Group 相關的在线市場，Huione Group 是該領域的重要參與者。爲網絡犯罪提供便利。

DMM Bitcoin 已將其資產和客戶账戶轉移到日本金融集團 SBI 集團的子公司 SBI VC Trade，過渡定於 2025 年 3 月完成。幸運的是，新興工具和預測技術正在興起，我們將我們將在下一節中進行探討，爲防止此類破壞性黑客攻擊的發生做好准備。

利用預測模型阻止黑客攻擊

先進的預測技術通過實時檢測潛在風險和威脅，正在改變網絡安全，提供主動的方法來保護數字生態系統。 讓我們看一下下面的例子，涉及去中心化流動性提供商 UwU Lend。

2024 年 6 月 10 日，攻擊者通過操縱 UwU Lend 的價格預言機系統，獲取了約 2000 萬美元的資金。攻擊者發起閃電貸攻擊，以改變多個預言機上 Ethena Staked USDe (sUSDe) 的價格，導致估值不正確。因此，攻擊者可以在七分鐘內借到數百萬美元。 Hexagate 在漏洞利用前大約兩天檢測到了攻擊合約及其類似部署。

盡管攻擊合約在漏洞利用前兩天被准確地實時檢測到，但由於其設計原因，其與被利用合約的聯系並未立即顯現出來。借助 Hexagate 的安全預言機等其他工具，可以進一步利用這種早期檢測來減輕威脅。值得注意的是，導致 820 萬美元損失的第一次攻擊發生在後續攻擊前幾分鐘，這提供了另一個重要信號。

在重大鏈上攻擊之前發出的此類警報有可能改變行業參與者的安全性，使他們能夠完全防止代價高昂的黑客攻擊，而不是對其做出響應。

在下圖中，我們看到攻擊者在資金到達 OFAC 批准的以太坊智能合約混合器 Tornado Cash 之前通過兩個中間地址轉移了被盜資金。

然而，值得注意的是，僅僅訪問這些預測模型並不能確保防止黑客攻擊，因爲協議可能並不總是擁有有效採取行動的適當工具。

需要更強的加密安全性

2024 年被盜加密貨幣的增加凸顯了該行業需要應對日益復雜和不斷變化的威脅形勢。雖然加密貨幣盜竊的規模尚未恢復到 2021 年和 2022 年的水平，但上述的死灰復燃凸顯了現有安全措施的差距以及適應新的利用方法的重要性。爲了有效應對這些挑战，公共和私營部門之間的合作至關重要。數據共享計劃、實時安全解決方案、先進的跟蹤工具和有針對性的培訓可以使利益相關者能夠快速識別和消滅惡意行爲者，同時建立保護加密資產所需的彈性。

此外，隨着加密貨幣監管框架的不斷發展，對平台安全和客戶資產保護的審查可能會加強。行業最佳實踐必須跟上這些變化，確保預防和問責。通過與執法部門建立更牢固的合作夥伴關系，並爲團隊提供快速響應的資源和專業知識，加密貨幣行業可以加強其防盜能力。這些努力不僅對於保護個人資產至關重要，而且對於在數字生態系統中建立長期信任和穩定也至關重要。

標題：Chainalysis：朝鮮黑客從加密平台竊取的錢都幹什么了？

地址：https://www.coinsdeep.com/article/190098.html

鄭重聲明：本文版權歸原作者所有，轉載文章僅為傳播信息之目的，不構成任何投資建議，如有侵權行為，請第一時間聯絡我們修改或刪除，多謝。