來源：Chainalysis；編譯：陶朱，喜來順財經(jīng)

加密貨幣黑客攻擊仍然是一個持續(xù)存在的威脅，過去十年中的四年，價值超過 10 億美元的加密貨幣被盜（2018 年、2021 年、2022 年和 2023 年）。 2024 年是達到這一令人不安的里程碑的第五年，突顯出隨著加密貨幣的采用和價格的上漲，可被盜的金額也在增加。

2024年，被盜資金同比增長約21.07%，達到22億美元，個人黑客事件數(shù)量從2023年的282起增加到2024年的303起。

有趣的是，加密貨幣黑客攻擊的強度在今年上半年左右發(fā)生了變化。在我們的年中罪案更新中，我們注意到在2024年1月至2024年7月期間被盜的累積價值已經(jīng)達到15.8億元，比2023年同期的被盜價值高出約84.4%。正如我們在下面的圖表中看到的，到7月底，生態(tài)系統(tǒng)很容易走上正軌，這一年可以與2021年和2022年的30多億美元相媲美。然而，2024年的加密貨幣被盜上升趨勢在7月之后明顯放緩，之后保持相對穩(wěn)定。稍后，我們將探討這種變化的潛在地緣政治原因。

就按受害者平臺類型劃分的被盜金額而言，2024 年也出現(xiàn)了有趣的模式。在 2021 年至 2023 年的大多數(shù)季度中，去中心化金融（DeFi）平臺是加密貨幣黑客的主要目標。 DeFi 平臺可能更容易受到攻擊，因為它們的開發(fā)人員傾向于優(yōu)先考慮快速增長并將產(chǎn)品推向市場，而不是實施安全措施，這使它們成為黑客的主要目標。

盡管 2024 年第一季度 DeFi 仍占被盜資產(chǎn)的最大份額，但中心化服務在第二季度和第三季度是最有針對性的。一些最著名的中心化服務黑客攻擊包括 DMM Bitcoin（2024 年 5 月；3.05 億美元）和 WazirX（2024 年 7 月；2.349 億美元）。

這種焦點從 DeFi 向中心化服務的轉變凸顯了黑客常用的安全機制（例如私鑰）的重要性日益增加。 2024 年，私鑰泄露在被盜加密貨幣中所占比例最大，達到 43.8%。對于中心化服務而言，確保私鑰的安全至關重要，因為它們控制對用戶資產(chǎn)的訪問。鑒于中心化交易所管理大量用戶資金，私鑰泄露的影響可能是毀滅性的；我們只需看看價值 3.05 億美元的 DMM Bitcoin黑客事件，這是迄今為止最大的加密貨幣漏洞之一，可能是由于私鑰管理不善或缺乏足夠的安全性而發(fā)生的。

在泄露私鑰后，惡意行為者通常會通過去中心化交易所 (DEX)、挖礦服務或混合服務來洗錢被盜資金，從而混淆交易軌跡并使追蹤復雜化。到 2024 年，我們可以看到私鑰黑客的洗錢活動與利用其他攻擊媒介的黑客的洗錢活動有很大不同。例如，在竊取私鑰后，這些黑客經(jīng)常轉向橋接和混合服務。對于其他攻擊媒介，去中心化交易所更常用于洗錢活動。

2024 年，朝鮮黑客從加密平臺竊取的金額將比以往任何時候都多

與朝鮮有關的黑客因其復雜而無情的手段而臭名昭著，他們經(jīng)常利用先進的惡意軟件、社會工程和加密貨幣盜竊來為國家資助的行動提供資金并規(guī)避國際制裁。美國和國際官員評估認為，平壤利用竊取的加密貨幣為其大規(guī)模殺傷性武器和彈道導彈計劃提供資金，危及國際安全。到 2023 年，與朝鮮有關的黑客將通過 20 起事件竊取約 6.605 億美元；到 2024 年，這一數(shù)字在 47 起事件中增加到 13.4 億美元，被盜價值增加了 102.88%。這些數(shù)字占當年被盜總金額的 61%，占事件總數(shù)的 20%。

請注意，在去年的報告中，我們發(fā)布了朝鮮通過 20 次黑客攻擊竊取了 10 億美元的信息。經(jīng)過進一步調查，我們確定之前歸因于朝鮮的某些大型黑客攻擊可能不再相關，因此金額減少至 6.605 億美元。然而，事件數(shù)量保持不變，因為我們發(fā)現(xiàn)了歸因于朝鮮的其他較小的黑客攻擊。當我們獲得新的鏈上和鏈下證據(jù)時，我們的目標是不斷重新評估我們對與朝鮮有關的黑客事件的評估。

不幸的是，朝鮮的加密貨幣攻擊似乎變得越來越頻繁。在下圖中，我們根據(jù)漏洞利用規(guī)模檢查了 DPRK 攻擊成功之間的平均時間，發(fā)現(xiàn)各種規(guī)模的攻擊均同比下降。值得注意的是，2024 年價值 50 至 1 億美元以及 1 億美元以上的攻擊發(fā)生頻率遠高于 2023 年，這表明朝鮮在大規(guī)模攻擊方面做得越來越好、越來越快。這與前兩年形成鮮明對比，前兩年其每次的利潤往往低于 5000 萬美元。

在將朝鮮的活動與我們監(jiān)測的所有其他黑客活動進行比較時，很明顯，朝鮮在過去三年中一直對大多數(shù)大規(guī)模攻擊負有責任。有趣的是，朝鮮黑客攻擊的金額較低，尤其是價值 10,000 美元左右的黑客攻擊密度也不斷增加。

其中一些事件似乎與朝鮮 IT 從業(yè)者有關，他們越來越多地滲透到加密貨幣和 Web3 公司，損害了他們的網(wǎng)絡、運營和完整性。這些員工經(jīng)常使用復雜的策略、技術和程序 (TTP)，例如虛假身份、雇用第三方招聘中介以及操縱遠程工作機會來獲取訪問權限。在最近的一個案例中，美國美國司法部 (DOJ) 周三起訴了 14 名在美國擔任遠程 IT 從業(yè)者的朝鮮國民。公司通過竊取專有信息和勒索雇主賺取了超過 8800 萬美元。

為了減輕這些風險，公司應優(yōu)先考慮徹底的雇傭盡職調查——包括背景調查和身份驗證——同時保持強大的私鑰安全以保護關鍵資產(chǎn)（如果適用）。

盡管所有這些趨勢都表明朝鮮今年非常活躍，但其大部分攻擊發(fā)生在年初，整體黑客活動在第三季度和第四季度陷入停滯，如早先的圖表所示。

2024 年 6 月下旬，俄羅斯總統(tǒng)弗拉基米爾·普京和朝鮮領導人金正恩也將在平壤舉行峰會，簽署共同防御協(xié)議。今年到目前為止，俄羅斯根據(jù)聯(lián)合國安理會的制裁釋放了先前凍結的數(shù)百萬美元的朝鮮資產(chǎn)，這標志著兩國聯(lián)盟的不斷發(fā)展。與此同時，朝鮮已向烏克蘭部署軍隊，向俄羅斯提供彈道導彈，據(jù)報道還向莫斯科尋求先進的太空、導彈和潛艇技術。

如果我們對比 2024 年 7 月 1 日之前和之后 DPRK 漏洞的日均損失，我們可以看到被盜價值的金額顯著下降。具體如下圖所示，之后朝鮮竊取的金額下降了約53.73%，而非朝鮮竊取的金額則增加了約5%。因此，除了將軍事資源轉向烏克蘭沖突之外，近年來大幅加強與俄羅斯合作的朝鮮也可能改變了其網(wǎng)絡犯罪活動。

2024 年 7 月 1 日之后朝鮮竊取資金的下降是顯而易見的，時機也很明顯，但值得注意的是，這種下降不一定與普京訪問平壤有關。此外，12 月發(fā)生的一些事件可能會在年底改變這種模式，而且攻擊者經(jīng)常會在假期期間發(fā)動襲擊。

案例研究：朝鮮對 DMM Bitcoin 的攻擊

2024 年與朝鮮有關的黑客攻擊的一個著名例子涉及日本加密貨幣交易所 DMM Bitcoin，該交易所遭受黑客攻擊，導致約 4,502.9 個比特幣損失，當時價值 3.05 億美元。攻擊者針對 DMM 使用的基礎設施中的漏洞，導致未經(jīng)授權的提款。對此，DMM在集團公司的支持下，通過尋找等值資金來全額支付客戶存款。

我們能夠分析初始攻擊后鏈上的資金流動，在第一階段，我們看到攻擊者將價值數(shù)百萬美元的加密貨幣從 DMM Bitcoin 轉移到幾個中間地址，然后最終到達Bitcoin CoinJoin 混合服務器。

在使用比特幣 CoinJoin 混合服務成功混合被盜資金后，攻擊者通過一些橋接服務將部分資金轉移到 Huioneguarantee，這是一個與柬埔寨企業(yè)集團 Huione Group 相關的在線市場，Huione Group 是該領域的重要參與者。為網(wǎng)絡犯罪提供便利。

DMM Bitcoin 已將其資產(chǎn)和客戶賬戶轉移到日本金融集團 SBI 集團的子公司 SBI VC Trade，過渡定于 2025 年 3 月完成。幸運的是，新興工具和預測技術正在興起，我們將我們將在下一節(jié)中進行探討，為防止此類破壞性黑客攻擊的發(fā)生做好準備。

利用預測模型阻止黑客攻擊

先進的預測技術通過實時檢測潛在風險和威脅，正在改變網(wǎng)絡安全，提供主動的方法來保護數(shù)字生態(tài)系統(tǒng)。 讓我們看一下下面的例子，涉及去中心化流動性提供商 UwU Lend。

2024 年 6 月 10 日，攻擊者通過操縱 UwU Lend 的價格預言機系統(tǒng)，獲取了約 2000 萬美元的資金。攻擊者發(fā)起閃電貸攻擊，以改變多個預言機上 Ethena Staked USDe (sUSDe) 的價格，導致估值不正確。因此，攻擊者可以在七分鐘內(nèi)借到數(shù)百萬美元。 Hexagate 在漏洞利用前大約兩天檢測到了攻擊合約及其類似部署。

盡管攻擊合約在漏洞利用前兩天被準確地實時檢測到，但由于其設計原因，其與被利用合約的聯(lián)系并未立即顯現(xiàn)出來。借助 Hexagate 的安全預言機等其他工具，可以進一步利用這種早期檢測來減輕威脅。值得注意的是，導致 820 萬美元損失的第一次攻擊發(fā)生在后續(xù)攻擊前幾分鐘，這提供了另一個重要信號。

在重大鏈上攻擊之前發(fā)出的此類警報有可能改變行業(yè)參與者的安全性，使他們能夠完全防止代價高昂的黑客攻擊，而不是對其做出響應。

在下圖中，我們看到攻擊者在資金到達 OFAC 批準的以太坊智能合約混合器 Tornado Cash 之前通過兩個中間地址轉移了被盜資金。

然而，值得注意的是，僅僅訪問這些預測模型并不能確保防止黑客攻擊，因為協(xié)議可能并不總是擁有有效采取行動的適當工具。

需要更強的加密安全性

2024 年被盜加密貨幣的增加凸顯了該行業(yè)需要應對日益復雜和不斷變化的威脅形勢。雖然加密貨幣盜竊的規(guī)模尚未恢復到 2021 年和 2022 年的水平，但上述的死灰復燃凸顯了現(xiàn)有安全措施的差距以及適應新的利用方法的重要性。為了有效應對這些挑戰(zhàn)，公共和私營部門之間的合作至關重要。數(shù)據(jù)共享計劃、實時安全解決方案、先進的跟蹤工具和有針對性的培訓可以使利益相關者能夠快速識別和消滅惡意行為者，同時建立保護加密資產(chǎn)所需的彈性。

此外，隨著加密貨幣監(jiān)管框架的不斷發(fā)展，對平臺安全和客戶資產(chǎn)保護的審查可能會加強。行業(yè)最佳實踐必須跟上這些變化，確保預防和問責。通過與執(zhí)法部門建立更牢固的合作伙伴關系，并為團隊提供快速響應的資源和專業(yè)知識，加密貨幣行業(yè)可以加強其防盜能力。這些努力不僅對于保護個人資產(chǎn)至關重要，而且對于在數(shù)字生態(tài)系統(tǒng)中建立長期信任和穩(wěn)定也至關重要。