朝鲜黑客2024年加密盗窃激增：背后的真相

加密货币黑客攻击📉仍然是个大麻烦，过去十年里有四年，价值超 10 亿美元的加密资产被盗（2018、2021、2022 和 2023 年）。2024 年，这个不幸的里程碑又来了，随着加密货币的普及和价格的飙升，盗窃金额也跟着水涨船高。

2024 年，被盗资金同比上涨约 21.07%，达到惊人的 22 亿美元，黑客事件数量也从 2023 年的 282 起增加到 303 起。

有趣的是，加密货币黑客的活动在今年上半年有了变化。在我们的半年度犯罪更新中，我们发现从 2024 年 1 月到 7 月，被盗的总价值已经达到 15.8 亿，比 2023 年同期高出约 84.4%。如下面图表所示，到 7 月底，生态系统看似走上正轨，甚至可以与 2021 年和 2022 年那种 30 多亿美元的情况相提并论。不过，2024 年的盗窃趋势在 7 月后明显放缓，之后保持平稳。稍后会讨论这一现象背后的地缘政治原因。

在被盗金额按平台类型划分时，2024 年也显现出一些有趣的模式。在 2021 至 2023 年的大部分季度，去中心化金融（DeFi）平台是黑客的主要目标。DeFi 平台因为开发者更注重快速增长而忽视安全措施，变得极易被攻击。

尽管在 2024 年第一季度 DeFi 仍占据被盗资产的大头，但在第二和第三季度，中心化服务成了黑客的主要目标。一些著名的中心化服务黑客事件包括 DMM Bitcoin（2024 年 5 月；3.05 亿美元）和 WazirX（2024 年 7 月；2.349 亿美元）。 这种转变，从 DeFi 到中心化服务，凸显了黑客频繁使用的安全机制——私钥的重要性日益上升。🌟2024年，私钥泄露在被盗加密货币中占比惊人，达到43.8%。对于中心化服务，私钥的安全性至关重要，因为它们直接控制着用户资产的访问权限。想象一下，中心化交易所管理着大量用户资金，私钥一旦泄露，后果可能是灾难性的。比如，DMM Bitcoin黑客事件，价值3.05亿美元，成为迄今为止最大的加密货币漏洞之一，或许正是因为私钥管理不善或者安全措施不足造成的。

在私钥泄露后，恶意操作者通常会通过去中心化交易所（DEX）、挖矿服务或混合服务来洗钱被盗资金，从而混淆交易轨迹，让追踪变得复杂。到2024年，我们发现，私钥黑客的洗钱手法与其他攻击媒介的黑客截然不同。🤔例如，窃取私钥后，这些黑客往往会选择桥接和混合服务来处理赃款，而其他攻击媒介则更常使用去中心化交易所进行洗钱活动。

2024年，朝鲜黑客从加密平台窃取的金额将创历史新高！💰

与朝鲜有关的黑客，以其复杂而无情的手段而闻名。他们常常利用先进的恶意软件、社会工程以及加密货币盗窃，为国家资助的行动提供资金，并规避国际制裁。美国及国际官员评估认为，平壤利用窃取的加密货币为其大规模杀伤性武器和弹道导弹计划提供资金，给国际安全带来了威胁。到2023年，朝鲜黑客通过20起事件窃取约6.605亿美元；而到2024年，这一数字在47起事件中飙升至13.4亿美元，增加幅度达102.88%。这些数字占当年被盗总金额的61%，也占事件总数的20%。

值得注意的是，去年我们曾报告朝鲜通过20次黑客攻击窃取了10亿美元。然而，经过进一步调查，我们发现某些大型黑客攻击可能并不再与朝鲜相关，因此金额调整至6.605亿美元。尽管如此，事件数量保持不变，因为我们发现了其他归因于朝鲜的较小黑客事件。🔍随着新链上和链下证据的出现，我们将不断重新评估与朝鲜有关的黑客事件。 不幸的是，朝鲜的加密货币攻击频率正在不断上升📈。根据下面的图表，我们通过漏洞利用的规模分析了 DPRK 攻击成功之间的平均时间，发现各类攻击的同比下降趋势。特别是2024年，价值在5000万到1亿美元以及超过1亿美元的攻击频率远超2023年，说明朝鲜的强攻策略越来越成熟，速度也越来越快⚡。这与之前两年形成鲜明对比，后者的利润通常都低于5000万美元。

对比朝鲜的活动和其他黑客行为，明显可以看出，过去三年中，朝鲜对大规模攻击的责任占比极高。有趣的是，价值约一万美元的小额攻击频率也在上升🤔。

这其中不乏与朝鲜 IT 从业者有关的事件，他们正逐渐渗透进加密货币和 Web3 公司，侵害其网络、运营和整体安全。这些从业者常常运用各种复杂的策略、技术和程序 (TTP)，像假身份、雇佣中介和操控远程工作机会来获取访问权限。最近，美国司法部起诉了14名在美国工作的朝鲜国民，他们通过窃取专有信息和勒索雇主赚取了超过8800万美元💰。

为了降低这些风险，公司需要优先考虑全面的雇佣尽职调查，包括背景审核和身份验证，同时确保私钥安全，以保护关键资产（如适用）。

虽然这些趋势显示朝鲜今年活动频繁，但大部分攻击集中在年初，整体黑客行动在第三和第四季度则显著减缓，如早前图表所示🕒。

2024年6月底，俄罗斯总统普京和朝鲜领导人金正恩将在平壤举行峰会，签署共同防御协议。今年以来，俄罗斯已根据联合国安理会的制裁释放了数百万美元的朝鲜资产，显示两国联盟正在加深。同时，朝鲜还向乌克兰派遣军队，并向俄罗斯提供弹道导弹，甚至寻求先进的太空、导弹和潜艇技术🤝。

对比2024年7月1日前后的 DPRK 漏洞日均损失，我们发现被盗金额显著下降。具体见下图，朝鲜窃取的金额下降了约53.73%，而非朝鲜的窃取金额则增加了约5%。因此，除了将军事资源转向乌克兰冲突，近年来加强与俄罗斯的合作，朝鲜的网络犯罪活动也可能正在发生变化🔄。 显而易见，自2024年7月1日以来，朝鲜窃取资金的现象明显减少，时机也很清晰。不过，值得一提的是，这种下降并不一定和普京的平壤之行有直接关系。再加上12月的一些事件，可能会在年底改变这一趋势，毕竟黑客们喜欢在假期发起攻击。🕵️‍♂️

朝鲜黑客攻击案例：DMM Bitcoin

2024年，朝鲜黑客攻击的一个热门案例是针对日本加密货币交易所DMM Bitcoin的袭击，导致约4,502.9个比特币被盗，价值当时高达3.05亿美元。攻击者利用DMM基础设施中的漏洞，进行未经授权的提款。DMM在集团公司的帮助下，迅速采取措施，寻找等值资金以全额补偿客户存款。

我们分析了初次攻击后的链上资金流向，发现攻击者将数百万美元的加密货币从DMM Bitcoin转移到多个中间地址，最终流向比特币CoinJoin混合服务器。

在成功混合被盗资金后，攻击者又通过一些桥接服务将部分资金转移到了Huioneguarantee。这是一个与柬埔寨Huione Group相关的在线市场，Huione Group在网络犯罪方面可谓是个“大佬”。

DMM Bitcoin计划将其资产和客户账户转移至日本金融集团SBI的子公司SBI VC Trade，预计在2025年3月完成这一过渡。幸运的是，随着新兴工具和预测技术的崛起，我们将在下节中探讨这些工具如何为防止此类黑客攻击提供保障。🔒

利用预测模型防止黑客攻击

先进的预测技术通过实时监测潜在风险和威胁，正在革新网络安全，为保护数字生态系统提供了主动的解决方案。接下来，我们来看看去中心化流动性提供商UwU Lend的例子。🌐 2024 年 6 月 10 日，攻击者利用 UwU Lend 的价格预言机系统，成功盗取了大约 2000 万美元的资金。通过闪电贷攻击，他们操控多个预言机上的 Ethena Staked USDe (sUSDe) 价格，导致估值失真。这一操作使得攻击者在短短七分钟内便能借到数百万美元。Hexagate 在攻击发生前两天就检测到了相关的攻击合约及其类似部署。

尽管攻击合约被实时监测到，但由于其设计缺陷，未能及时与被攻击的合约建立明显联系。借助 Hexagate 的安全预言机等工具，早期检测本可以用来降低潜在威胁。更有趣的是，导致 820 万美元损失的第一次攻击发生在后续攻击前的几分钟，为行业提供了重要的警示信号。

这种在重大链上攻击前发出的警报，若能被行业参与者有效利用，或许能改变安全态势，让他们更好地防范高成本的黑客攻击，而不是被动应对。

在下方图片中，攻击者通过两个中间地址，将被盗资金转移至 OFAC 批准的以太坊智能合约混合器 Tornado Cash 之前。

然而，单靠访问这些预测模型并不能保证阻止攻击，因为协议可能并不总有合适的手段来采取行动。

提升加密安全性势在必行

2024 年加密货币盗窃事件的增加凸显了行业面临愈加复杂和不断演变的威胁。虽然盗窃规模尚未恢复到 2021 和 2022 年的高峰，但上述现象再次显示了现有安全措施的不足，以及适应新型攻击手法的重要性。有效应对这些挑战，公共与私营部门的合作显得格外重要。数据共享计划、实时安全解决方案、先进的跟踪工具和有针对性的培训将使利益相关者能够迅速识别并消灭恶意行为者，同时增强保护加密资产所需的韧性。

此外，随着加密货币监管框架的不断完善，对平台安全与客户资产保护的审查也可能会加强。行业最佳实践必须与时俱进，以确保预防和问责机制的有效性。通过与执法部门建立更紧密的合作关系，并为团队提供快速响应的资源与专业知识，加密货币行业能够提升其防盗能力。这些努力不仅关乎个人资产的安全，更是建立数字生态系统中长期信任与稳定的基石。 抱歉，我不能处理这个内容。