2024幣圈遭駭22億鎂！北韓駭客偷走最多錢，都拿去幹嘛了？

加密貨幣駭客攻擊仍然是一個持續存在的威脅，過去十年中的四年，價值超過 10 億美元的加密貨幣被盜（2018 年、2021 年、2022 年和 2023 年）。2024 年是達到這一令人不安的里程碑的第五年，突顯出隨著加密貨幣的採用和價格的上漲，可被盜的金額也在增加。

2024 年，被盜資金同比成長約 21.07%，達到 22 億美元，個人駭客事件數量從 2023 年的 282 起增加到 2024 年的 303 起。

有趣的是，加密貨幣駭客攻擊的強度在今年上半年左右發生了變化。在我們的年中罪案更新中，我們注意到在 2024 年 1 月至 2024 年 7 月期間被盜的累積價值已經達到 15.8 億元，比 2023 年同期的被盜價值高出約 84.4%。正如我們在下面的圖表中看到的，到 7 月底，生態系很容易走上正軌，這一年可以與 2021 年和 2022 年的 30 多億美元相媲美。然而，2024 年的加密貨幣被盜上升趨勢在 7 月之後明顯放緩，之後保持相對穩定。稍後，我們將探討這種變化的潛在地緣政治原因。

就按受害者平台類型劃分的被盜金額而言，2024 年也出現了有趣的模式。在 2021 年至 2023 年的大多數季度中，去中心化金融（DeFi）平台是加密貨幣駭客的主要目標。DeFi 平台可能更容易受到攻擊，因為它們的開發人員傾向於優先考慮快速成長並將產品推向市場，而不是實施安全措施，這使它們成為駭客的主要目標。

儘管 2024 年第一季度 DeFi 仍佔被盜資產的最大市佔率，但中心化服務在第二季度和第三季度是最有針對性的。一些最著名的中心化服務駭客攻擊包括 DMM Bitcoin（2024 年 5 月；3.05 億美元）和 WazirX（2024 年 7 月；2.349 億美元）。

這種焦點從 DeFi 向中心化服務的轉變凸顯了駭客常用的安全機制（例如私鑰）的重要性日益增加。2024 年，私鑰洩露在被盜加密貨幣中所佔比例最大，達到 43.8%。對於中心化服務而言，確保私鑰的安全至關重要，因為它們控制對使用者資產的訪問。鑒於中心化交易所管理大量使用者資金，私鑰洩露的影響可能是毀滅性的；我們只需看看價值 3.05 億美元的 DMM Bitcoin 駭客事件，這是迄今為止最大的加密貨幣漏洞之一，可能是由於私鑰管理不善或缺乏足夠的安全性而發生的。

在洩露私鑰後，惡意行為者通常會通過去中心化交易所 (DEX)、挖礦服務或混合服務來洗錢被盜資金，從而混淆交易軌跡並使追蹤複雜化。到 2024 年，我們可以看到私鑰駭客的洗錢活動與利用其它攻擊媒介的駭客的洗錢活動有很大不同。例如，在竊取私鑰後，這些駭客經常轉向跨鏈和混合服務。對於其它攻擊媒介，去中心化交易所更常用於洗錢活動。

---

2024 年，北韓駭客從加密平台竊取的金額將比以往任何時候都多

與北韓有關的駭客因其複雜而無情的手段而臭名昭著，他們經常利用先進的惡意軟體、社會工程和加密貨幣盜竊來為國家資助的行動提供資金並規避國際制裁。美國和國際官員評估認為，平壤利用竊取的加密貨幣為其大規模殺傷性武器和彈道導彈計劃提供資金，危及國際安全。到 2023 年，與北韓有關的駭客將通過 20 起事件竊取約 6.605 億美元；到 2024 年，這一數位在 47 起事件中增加到 13.4 億美元，被盜價值增加了 102.88%。這些數位佔當年被盜總金額的 61%，佔事件總數的 20%。

請注意，在去年的報告中，我們發佈了北韓通過 20 次駭客攻擊竊取了 10 億美元的資訊。經過進一步調查，我們確定之前歸因於北韓的某些大型駭客攻擊可能不再相關，因此金額減少至 6.605 億美元。然而，事件數量保持不變，因為我們發現了歸因於北韓的其它較小的駭客攻擊。當我們獲得新的鏈上和鏈下證據時，我們的目標是不斷重新評估我們對與北韓有關的駭客事件的評估。

不幸的是，北韓的加密貨幣攻擊似乎變得越來越頻繁。在下圖中，我們根據漏洞利用規模檢查了 DPRK 攻擊成功之間的平均時間，發現各種規模的攻擊均同比下降。值得注意的是，2024 年價值 50 至 1 億美元以及 1 億美元以上的攻擊發生頻率遠高於 2023 年，這表明北韓在大規模攻擊方面做得越來越好、越來越快。這與前兩年形成鮮明對比，前兩年其每次的利潤往往低於 5,000 萬美元。

在將北韓的活動與我們監測的所有其它駭客活動進行比較時，很明顯，北韓在過去三年中一直對大多數大規模攻擊負有責任。有趣的是，北韓駭客攻擊的金額較低，尤其是價值 10,000 美元左右的駭客攻擊密度也不斷增加。

其中一些事件似乎與北韓 IT 從業者有關，他們越來越多地滲透到加密貨幣和 Web3 公司，損害了他們的網路、營運和完整性。這些員工經常使用複雜的策略、技術和程式 (TTP)，例如虛假身份、雇用第三方招聘仲介以及操縱遠程工作機會來獲取訪問權限。在最近的一個案例中，美國美國司法部 (DOJ) 週三起訴了 14 名在美國擔任遠程 IT 從業者的北韓國民。公司通過竊取專有資訊和勒索雇主賺取了超過 8,800 萬美元。

為了減輕這些風險，公司應優先考慮徹底的雇傭盡職調查——包括背景調查和身份驗證——同時保持強大的私鑰安全以保護關鍵資產（如果適用）。

儘管所有這些趨勢都表明北韓今年非常活躍，但其大部分攻擊發生在年初，整體駭客活動在第三季度和第四季度陷入停滯，如早先的圖表所示。

2024 年 6 月下旬，俄羅斯總統弗拉基米爾·普京和北韓領導人金正恩也將在平壤舉行峰會，簽署共同防禦協議。今年到目前為止，俄羅斯根據聯合國安理會的制裁釋放了先前凍結的數百萬美元的北韓資產，這象徵著兩國聯盟的不斷發展。與此同時，北韓已向烏克蘭部署軍隊，向俄羅斯提供彈道導彈，據報導還向莫斯科尋求先進的太空、導彈和潛艇技術。

如果我們對比 2024 年 7 月 1 日之前和之後 DPRK 漏洞的日均損失，我們可以看到被盜價值的金額顯著下降。具體如下圖所示，之後北韓竊取的金額下降了約 53.73%，而非北韓竊取的金額則增加了約 5%。因此，除了將軍事資源轉向烏克蘭衝突之外，近年來大幅加強與俄羅斯合作的北韓也可能改變了其網路犯罪活動。

2024 年 7 月 1 日之後北韓竊取資金的下降是顯而易見的，時機也很明顯，但值得注意的是，這種下降不一定與普京訪問平壤有關。此外，12 月發生的一些事件可能會在年底改變這種模式，而且攻擊者經常會在假期期間發動襲擊。

---

案例研究：北韓對 DMM Bitcoin 的攻擊

2024 年與北韓有關的駭客攻擊的一個著名例子涉及日本加密貨幣交易所 DMM Bitcoin，該交易所遭受駭客攻擊，導致約 4,502.9 個比特幣損失，當時價值 3.05 億美元。攻擊者針對 DMM 使用的基礎設施中的漏洞，導致未經授權的提款。對此，DMM 在集團公司的支持下，通過尋找等值資金來全額支付客戶存款。

我們能夠分析初始攻擊後鏈上的資金流動，在第一階段，我們看到攻擊者將價值數百萬美元的加密貨幣從 DMM Bitcoin 轉移到幾個中間地址，然後最終到達 Bitcoin CoinJoin 混合伺服器。

在使用比特幣 CoinJoin 混合服務成功混合被盜資金後，攻擊者通過一些跨鏈服務將部分資金轉移到 Huioneguarantee，這是一個與柬埔寨企業集團 Huione Group 相關的線上市場，Huione Group 是該產業的重要參與者。為網路犯罪提供便利。

DMM Bitcoin 已將其資產和客戶帳戶轉移到日本金融集團 SBI 集團的子公司 SBI VC Trade，過渡定於 2025 年 3 月完成。幸運的是，新興工具和預測技術正在興起，我們將我們將在下一節中進行探討，為防止此類破壞性駭客攻擊的發生做好準備。

---

利用預測模型阻止駭客攻擊

先進的預測技術通過即時檢測潛在風險和威脅，正在改變網路安全，提供主動的方法來保護數位生態系。讓我們看一下下面的例子，涉及去中心化流動性提供商 UwU Lend。

2024 年 6 月 10 日，攻擊者通過操縱 UwU Lend 的價格預言機系統，獲取了約 2000 萬美元的資金。攻擊者發起閃電貸攻擊，以改變多個預言機上 Ethena Staked USDe (sUSDe) 的價格，導致估值不正確。因此，攻擊者可以在七分鐘內借到數百萬美元。Hexagate 在漏洞利用前大約兩天檢測到了攻擊合約及其類似部署。

儘管攻擊合約在漏洞利用前兩天被準確地即時檢測到，但由於其設計原因，其與被利用合約的聯繫並未立即顯現出來。借助 Hexagate 的安全預言機等其它工具，可以進一步利用這種早期檢測來減輕威脅。值得注意的是，導致 820 萬美元損失的第一次攻擊發生在後續攻擊前幾分鐘，這提供了另一個重要信號。

在重大鏈上攻擊之前發出的此類警報有可能改變產業參與者的安全性，使他們能夠完全防止代價高昂的駭客攻擊，而不是對其做出響應。

在下圖中，我們看到攻擊者在資金到達 OFAC 批准的以太坊智能合約混合器 Tornado Cash 之前通過兩個中間地址轉移了被盜資金。

然而，值得注意的是，僅僅訪問這些預測模型並不能確保防止駭客攻擊，因為協議可能並不總是擁有有效採取行動的適當工具。

---

需要更強的加密安全性

2024 年被盜加密貨幣的增加凸顯了該產業需要應對日益複雜和不斷變化的威脅形勢。雖然加密貨幣盜竊的規模尚未恢復到 2021 年和 2022 年的水準，但上述的死灰復燃凸顯了現有安全措施的差距以及適應新的利用方法的重要性。為了有效應對這些挑戰，公共和私營部門之間的合作至關重要。數據共享計劃、即時安全解決方案、先進的追蹤工具和有針對性的培訓可以使利益相關者能夠快速識別和消滅惡意行為者，同時建立保護加密資產所需的彈性。

此外，隨著加密貨幣監管架構的不斷發展，對平台安全和客戶資產保護的審查可能會加強。產業最佳實踐必須跟上這些變化，確保預防和問責。通過與執法部門建立更牢固的合作夥伴關係，並為團隊提供快速響應的資源和專業知識，加密貨幣產業可以加強其防盜能力。這些努力不僅對於保護個人資產至關重要，而且對於在數位生態系中建立長期信任和穩定也至關重要。

【免責聲明】市場有風險，投資需謹慎。本文不構成投資建議，用戶應考慮本文中的任何意見、觀點或結論是否符合其特定狀況。據此投資，責任自負。

• 本文經授權轉載自：《律動 Blockbeats》
• 原文作者：Chainalysis