Odaily译者|Moni
所谓”道高一尺魔高一丈“,2019年,加密货币交易所与黑客之间的较量愈演愈烈,虽然黑客实施的攻击数量越来越多,但相比于2018年,他们似乎并没有从交易所那里窃走太多资金。
上图是量化的2019年受攻击的加密货币交易所统计,每个条状栏上的不同颜色代表了当年各个独立黑客盗窃的加密货币量,涉及的加密货币包括:比特币、比特币现金、以太坊、莱特币、瑞波币、ADA、EOS、NANO、NEM、USDT等。从上图数据来看,2019年发生的加密货币黑客攻击数量超过了过去的任何一年。但是在去年发生的11次攻击事件中,并没有“太多”资金被盗——这意味着,尽管攻击次数增加,但从加密货币交易所中被窃的加密货币总价值“只有”2.83亿美元,要知道2014年“头门沟”的攻击就损失了4.73亿美元,而2018年Coinchek在黑客攻击中的损失更是高达5.34亿美元。鉴于媒体和其他消息源可能报道不同的数字,因此让我们先解释一下是如何得出2019年加密货币交易所攻击数据的:1、我们统计的范围包括:1)涉及利用技术漏洞的黑客攻击;2)通过社会工程或其他形式欺诈手段实施的攻击。2、我们统计的攻击仅包含允许不良行为者访问属于加密货币交易所资金,不包括支付处理商、钱包服务提供商、投资平台、或是针对其他类型服务访问的攻击。3、我们没有统计加密货币交易所退出欺诈或用户利用加密货币交易所漏洞的情况,比如Synthetix用户利用交易中的价格差异”漏洞“净赚了10亿美元。4、我们仅包含了通过多个数据源衡量并公开确认被盗金额的攻击,这意味着其中不会包含加密货币交易所用户数据遭到破坏、但没有加密货币被盗的事件。此外,我们还排除了那些私下向我们举报的黑客攻击事件,这些事件应该不会对本文分析的数据产生较大影响。在上述这些框架之下,我们还剔除了那些针对较小金额数量的加密货币黑客攻击,虽然这么做可能会使加密货币交易所黑客攻击的损失金额估算降到一个较低的界限,但其实并不会对统计产生太大影响。量化2019年加密货币交易所攻击
以太坊侧链Gnosis Chain即将过渡到PoS:金色财经报道,以太坊侧链Gnosis Chain官方推文称,Gnosis合并预计在北京时间12月9日上午02:47左右进行。此次合并,Gnosis Chain的共识机制将从Proof-of-Authority过渡到PoS。[2022/12/7 21:28:05]
上图表量化了2019年加密货币交易所遭受攻击的情况,涉及的加密货币包括比特币、比特币现金、以太坊、莱特币、瑞波币、ADA、EOS、NANO、NEM、USDT等。在Coinbene遭受超过1.05亿美元被窃之后,我们没有发现规模更大的黑客攻击事件了,虽然过去三年时间里每年黑客攻击数量都有所增长,但是在2019年黑客攻击的平均金额和中位数金额等指标均出现大幅下降。与2018年的黑客攻击相比,我们在2019年观察到的黑客攻击中,只有54%的被窃金额超过了1000万美元。尽管个体黑客数量有所增加值得我们关注,但根据数据表明,加密货币交易所在维护资金不受黑客攻击影响方面已经取得了较好的进步。黑客攻击之后,资金都流向了哪里?
使用区块链分析,我们可以追踪黑客窃取的资金流向,并了解他们会如何清算这些非法获取的资金。下面,我们将按照年度细分来看看加密货币交易所被盗资金都流到了哪些最常见的目的地。
实际上,遭受黑客攻击的加密货币交易所大部分被窃资金最终都被发送到了其他加密货币交易所,然后在那里被转化为法定货币。但是仍有很大一部分盗窃资金没有任何“动静”,有时黑客会等待数年时间才会偷偷转账。不过在这种情况下,执法部门仍有机会没收被盗资金,我们会在后文中做进一步探索。有一小部分被盗资金会通过第三方混合器或CoinJoin钱包进行转移,以掩盖其非法来源,但是这部分资金在2019年已经有所增加。需要说明的是,上表中所有混合资金都是根据混合发生之后被发送至的最终目的地进行分类的。针对加密货币交易所升级的安全措施,黑客又有什么“新招”应对呢?
Cyber Capital创始人:BNB Chain“验证节点”由Binance控制的委员会选出,“去中心化”只是表象:10月8日消息,加密基金Cyber Capital创始人兼首席投资官Justin Bons在社交媒体表示,Binance足够聪明,从不声称BNB Chain是去中心化的或直接承认它是中心化的,结果BNB Chain让一些不太懂行的人看起来像“去中心化”,但其实该网络的21个“验证节点”是由一个11人委员会选出,而该委员会是由Binance控制的。这些“验证节点”会按照委员会设计的预定顺序轮流处理相关工作,而不是像真正的去中心化区块链那样根据权重随机确定验证。[2022/10/8 12:49:26]
为了更好地保护客户资金免遭黑客攻击,加密货币交易所已经取得了长足的进步,通过因为黑客攻击的损失金额急剧减少就可以看出,交易所的努力已经取得了一定程度的成功。现在,许多加密货币交易所只会把很小比例的资金保存在安全性较低的热钱包里,仅仅为了满足客户的提款授权。此外,越来越多加密货币交易所已经开始更密切地监视交易以便甄选出可疑活动,并较早发现潜在黑客行为。通过调查2019年加密货币交易所黑客攻击情况,我们还发现如今在面对黑客攻击的时候,不少加密货币交易所会选择主动出击,而不是像过去那样“被动挨打”,而且他们也更愿意与其他加密货币社区共享详细信息,使追查被盗资金变得更加容易。与此同时,不管是实施黑客攻击,还是后续的,黑客也在变得越来越老练。虽然这种情况不是什么好兆头,但从另一个角度来看,也表明此前加密货币交易所采取的保护措施收到了一定成效,也正是因为如此,才会迫使黑客研究、采取新的攻击手段。正如我们将向您展示的,加密货币交易所和执法机构其实可以采取一些具体措施来应对黑客的新型攻击策略。在此,就让星球君和大家分析一个知名网络犯罪组织LazarusGroup的黑客活动,然后看看如今的黑客采用了哪些新型攻击策略吧。LazarusGroup在2019年的攻击手段变得越来越“先进”了
LazarusGroup是一个臭名昭著的网络犯罪集团,也被网络安全专家视为威胁级别最高的黑客组织,人们普遍认为2014年SonyPictures被攻击、以及2017年WannaCry勒索软件攻击和许多其他加密货币交易所攻击都与LazarusGroup有关。在Chainalysis于2019年发布的《加密犯罪报告》里,研究人员分析了LazarusGroup针对加密货币交易所的黑客活动,并将其冠以“BetaGroup”的非法组织称号。为了经对加密货币交易所的安全措施,2019年,LazarusGroup对其黑客和策略实施了三大重要更新:1、更复杂的网络钓鱼策略。LazarusGroup过去一直依靠社会工程学来攻击加密货币交易所,他们通常会诱使交易所员工下载恶意软件,从而使其可以控制、使用用户的资金。但是在去年的一次加密货币交易所攻击中,LazarusGroup使用了设计更为“精妙”的策略,并执行了一个设计无比精心的网络钓鱼方案,我们已经发现这种方案的确奏效,而且很容易就控制并窃取用户的资金。2、越来越多地使用混合器和CoinJoin钱包。2019年,越来越多黑客通过使用混合器发送从加密货币交易所窃取的资金。更具体地说,对于LazarusGroup这家黑客组织而言,他们使用了CoinJoin钱包。混合器通过汇集多个用户的加密货币来混淆资金流向,并从每个用户池中返还其最初投入相等的金额。每个人的资金都会于其他人投入的资金“混合”起来,这使得追踪某个特定用户的资金输入和输出关系变得更加困难。许多犯罪分子使用混合器隐藏非法加密货币的来源,然后再将其转移到其他服务里。以底层CoinJoin协议命名的CoinJoin钱包——比如WasabiWallet,该服务允许多个用户将其付款不信任地加入到具有多个收件人的单个交易中。3、非法资金的清算速度更快了。相比于2018年,我们还发现像LazarusGroup这样的黑客转移清算盗窃加密货币交易所资金的速度更快了。这种趋势表明,黑客在2019年的能力有所提升,而且在处理盗窃资金的时候优先考虑的就是速度。接下来,让我们来看看LazarusGroup是如何会运用这些新策略的。策略一:LazarusGroup如何利用虚假公司诱网络钓鱼
Cellebrite与Chainalysis建立合作伙伴关系:金色财经报道,公共和私营部门数字智能 (DI) 解决方案公司Cellebrite与区块链数据平台 Chainalysis 建立合作伙伴关系,使客户能够利用区块链的透明度实现调查现代化。集成解决方案将提供自动化、高效的能力和知识,以识别和评估加密货币风险,并将此类信息与相关案例的其他元素相关联。[2022/7/5 1:52:32]
2019年3月,黑客入侵了新加坡加密货币交易所DragonEx,窃走了价值大约700万美元的加密货币,包括比特币、瑞波币和莱特币。DragonEx迅速做出反应,在各种社交媒体平台上宣布遭到黑客攻击,并发布了其资金已转移到的20个钱包地址列表。这样一来,其他加密货币交易所就可以标记这些钱包地址并冻结与它们相关的帐户,从而使攻击者更难转移资金。不仅如此,DragonEx还迅速联系了Chainalysis,并与法律机构一起寻求帮助。尽管DragonEx黑客攻击的规模相对较小,但值得注意的是,LazarusGroup是以一种复杂的网络钓鱼攻击方式渗透进了该加密货币交易所的系统,他们创建了一家虚假公司,声称可以提供一个名为“Worldbit-bot”的自动化加密货币交易机器人,而且配备了可满足员工需求的华丽网站页面和社交媒体账户。
LazarusGroup甚至开发出了一个销售交易机器人的软件产品——当然,他们在软件中嵌入了恶意软件,从而使黑客可以访问下载该程序用户的计算机。LazarusGroup的黑客们向DragonEx员工提供了该软件的免费试用版,并说服该交易所里的人将其下载到包含钱包专用密钥的计算机上,最终黑客成功窃取了密钥并盗走了价值数百万美元的加密货币。大多数网络钓鱼只会依赖电子邮件或小型网站,但LazarusGroup设计“Worldbit-bot”加密货币自动化交易机器人官网显然专业度更高,这也从侧面显示出他们可支配的时间和资源丰富,而且对交易参与者如何访问加密货币生态系统有非常深入的了解。策略二:混合器使用率开始提高,兑现非法资金速度加快,凸显LazarusGroup策略变化
基于Waves的去中心化金融应用Neutrino将集成Chainlink:据官方消息,基于 Waves 平台的去中心化金融应用 Neutrino (USDN)宣布将和去中心化预言机Chainlink进行整合,Chainlink 将通过储备证明提供常规或按需的证明,以确保 USDN 在跨链时有充足的抵押物。[2021/1/14 16:11:17]
在去年发布的《加密犯罪报告》中,Chainalysis分析了2018年加密货币交易所黑客的操作手法,但是现在LazarusGroup并没有像其他知名黑客组织那样使用混合器等复杂的技术来快速“清算”和取出被盗的加密货币。相反,他们反而会把被盗资金存放在钱包里一段时间,比如12-18个月,然后当风平浪静之后再偷偷把被盗资金转移到KYC合规要求较低的加密货币交易所。我们得出的结论是:LazarusGroup这种做法主要处于财务上的考量,尽管其他知名黑客组织似乎还是倾向于通过混淆交易目标以避免被发现,但LazarusGroup的行为表明他们更愿意将被盗的加密货币转化为现金,即便这种做法需要等待更长时间,还需要通过加密货币交易所且容易追踪。按照美国政府报告的说法,朝鲜利用来自加密货币交易所黑客和其他金融犯罪的资金为其大规模杀伤性武器和弹道导弹计划提供了支持,而这其实也是LazarusGroup开展攻击的目标。虽然我们不知道LazarusGroup在2019年的攻击动机是否发生了变化,但可以确定的是,他们在转移和套现从加密货币交易所盗窃资金的手段已经发生了变化,其中最显著的就是他们转移到混合器里的资金比例已经越来越高了。
上图:2017-2019年被LazarusGroup窃取的加密货币交易所资金目的地2018年,在所有LazarusGroup从加密货币交易所窃取的资金中,有98%最终被转移到了加密货币交易所,而没有一个流入到混合器或CoinJoin钱包里,但这些交易所有一个共同点,那就是:对KYC的合规要求都非常低。但是在2019年,LazarusGroup所有从加密货币交易所窃取的资金中有48%转移到了CoinJoin钱包,50%的资金依然存放在黑客的原始钱包里,没有任何动作。我们可以使用ChainalysisReactor来查看此数据,以比较LazarusGroup自2018年以来和自2019年以来的相关的非法加密货币交易活动。ChainalysisReactor:2018年LazarusGroup攻击加密货币交易所获得资金的转移行为
Chainlink在10月被29个项目整合:金色财经报道,据推特用户TheLinkMarine统计,仅在10月份,Chainlink已被29个项目整合。自2017年启动以来,Chainlink的去中心化预言机已与315个项目集成,包括74个区块链、98个去中心化金融(DeFi)项目、23个数据提供商和44个节点。[2020/11/3 11:28:58]
从上图中,我们可以看到LazarusGroup在2018年的一次加密货币交易所黑客攻击之后是如何转移被盗资金的。由于交易数量众多,上图可能会看起来非常复杂,但只要理清思路其实理解起来并不困难。上图的最左侧是受到攻击的加密货币交易所钱包地址,资金就是从这个地址离开的,之后资金经过了两个中间钱包,然后分散到了右侧的四个不同的加密货币交易所,而两者之间的众多跳跃点代表了资金只是从一个钱包转移到一个交易所,并没有任何支付变化——尽管资金路径看上去很长,但追踪起来其实并不困难。ChainalysisReactor:2019年LazarusGroup攻击加密货币交易所获得资金的转移行为
上图ChainalysisReactor分析展示了LazarusGroup如何在2019年DragonEx加密货币交易所遭受攻击之后黑客是如何转移资金的。在这种情况下,以太坊和莱特币等被盗的山寨币被转移到了加密货币交易所,之后又被兑换成了比特币。接下来,黑客又从加密货币交易所的各种本地钱包里把比特币取出进行,最终将其转移到最右边的WasabiWallet,并通过CoinJoin协议混合盗窃资金。
上图是四个攻击对比,旨在展示黑客如何在攻击加密货币交易所之后“清算”盗窃资金。据悉,LazarusGroup还将盗窃的资金转移到了可以清算的服务中,而且他们在2019年的转移速度显然快了很多。在2018年,LazarusGroup平均花费长达500天的时间才将盗窃资金从最初的私人钱包转移到清算服务中,而在2019年,他们只花费了250天时间。我们发现,黑客的转移资金速度在2019年发生了巨大变化,尤其是有两次攻击,LazarusGroup只用了60天时间将把所有被盗资金转移到了清算服务里,而且其他黑客组织群体也开始遵循这一趋势。LazarusGroup的黑客攻击手段越来越复杂,的速度也变得越来越快,这给情报机构和加密货币交易所带来的压力也与日俱增,更要求他们在遭受网络犯罪攻击的时候不得不更快速地采取行动。加密货币交易所依然需要优先考虑安全性
在过去的几年中,为了对抗黑客攻击,许多加密货币交易所都提高了安全性门槛,但同时我们也发现,像LazarusGroup这样的黑客也在不断改变攻击策略,这使得加密货币交易所不得不进一步提升安全维护成本——他们需要时刻保持警惕,并继续以他们已经取得的成绩为基础,始终保持能比黑客领先一步。我们建议加密货币交易所可以设置防护栏,以确保可疑交易在完成之前被标记,同时还要采取措施防止员工下载可能危害其网络并允许黑客访问交易所私钥的恶意软件。万一加密货币交易所真的受到黑客攻击,需要立即向执法部门报告,并提供关键信息:例如被盗资金转移到的地址等。除了保护自己免受黑客攻击之外,加密货币交易所还有责任确保不会被犯罪分子利用,“帮助”他们提取窃取的资金。我们建议,一旦加密货币交易所发现从混合器或CoinJoin钱包出现大笔存款,就需要立即提高警惕。尽管混合器有合法用途,但数据清楚地表明,越来越多的黑客开始使用这种工具来混淆之前盗窃的加密货币路径,并绕过监管来套现。在这种情况下,加密货币交易所其实可以停止其中一些套现交易,并通过中止来自混合器的可疑交易来帮助执法部门追回被窃资金。就目前而言,币安已经开始这么做了,因此这种模型其实可以成为其他加密货币交易所效防的案例。最后,我们认为强执法机构之间的跨境合作可以大大减少加密货币交易所被黑客入侵的风险。如果全球的金融情报部门可以在黑客实施攻击之后迅速共享从加密货币交易所获得的信息,那么就能立刻冻结被窃资金,黑客也就无法将其转移到混合器或是KYC合规要求较低的加密货币交易所了。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。