为什么黑客这么喜欢攻击加密货币?

FreeBuf 2024-03-01 14:10:35

随着全球加密货币规模正在超高速的增长,加密货币的安全存储成为了关键的一环。去年一年,加密货币行业已逐步从2022年的丑闻、市场暴跌中复苏过来,市场热度也逐步回升。与此同时,与加密货币有关的网络犯罪也再度活跃。

根据加密货币追踪公司Chainalysis最新发布的《2024年加密货币犯罪报告》,仅勒索软件从受害者处勒索的加密货币价值就超过了 10 亿美元,2022年为5.67 亿美元。

图片来源:Chainalysis《2024年加密货币犯罪报告》

据统计,去年有70%的加密诈骗、83%的向伊朗和俄罗斯等受制裁国家的加密支付以及84%的向受特别制裁的个人和公司的加密支付交易均使用了加密货币。在2022-2023两年间,非法稳定币交易金额累计高达400亿美元。

全球加密数字行业的“崛起”之年

在《2024年加密货币犯罪报告》报告中,我们注意到了三组数据:2023年,加密货币诈骗和盗窃的收入均大幅下降,分别暴跌29.2%和54.3%;勒索软件和暗网市场的收入在2023年逆势增长;2023年,与制裁相关的交易量激增,成为最引人注目的趋势之一。被制裁实体和地区累计交易额达到了惊人的149亿美元,占报告统计的所有非法交易量的61.5%。

这三组数据正是总结了2023年加密货币犯罪格局的关键趋势,并且这些趋势有望在2024年得以延续。

虽然乍看之下,加密货币诈骗和盗窃的收入均大幅下降似乎是个好消息,但事实上究其根本原因是黑客更难隐藏行迹。任何大规模资金流出都会引起行业观察者的警惕。盗窃收入下降的主要原因是DeFi黑客活动锐减,这或许标志着DeFi项目在安全方面取得了进步。需要指出的是,盗窃金额数据极易受个别大型事件影响,一次重大黑客事件就可能改变整个趋势。

同时,暗网市场收入的回升也让人担忧。总体来看,该行业仅2023年的收入就已接近2021年的高峰。

报告中明确指出,2023年实施勒索软件最猖獗的犯罪团伙包括 Alphv / Blackcat、Clop、Play、LockBit、BlackBasta、Royal、Ransomhouse 和 Dark Angels,它们分别采用了不同的行动策略榨取了大量赎金,因此导致加密货币网络安全事件频发。

新加坡加密货币交易所Bitrue2440多万美元遭窃

去年4月,总部位于新加坡的加密货币交易所Bitrue遭遇黑客攻击,该交易所发布声明称在一个热钱包中发现了漏洞。根据该公司的说法,此次盗窃事件发生于当地时间周四凌晨1点左右,黑客共盗取了约2440多万美元的资产,占总资金的不到5%,其余的钱包仍然安全,没有受到攻击。同时,用户资金将被保护,任何加密货币被盗的人都将获得赔偿。

但这也并非Bitrue 首次遭遇盗窃事件,早在2019年的时候就被盗了一次,那次黑客事件导致该交易所损失了400多万美元。

当时该平台在tweets中宣布了这一黑客入侵事件。据该公司称,用户资金已投保,任何丢失加密货币的人都将得到退款。黑客利用了风险控制团队第二次审核流程中的漏洞非法访问了大约90名Bitrue用户的个人资金。黑客利用从这次漏洞,然后访问Bitrue热钱包,并将930万XRP和250万ADA转移到不同的交易所。

事件发生后,Bitrue与火币网(Huobi),Bittrex和ChangeNOW交易所合作,并表示他们冻结了与黑客相关的资金和账户。

在另一条推文中,Bitrue表示正在对其系统进行紧急检查,尽快恢复正常运行。

根据The block当年发布的报告显示,加密货币交易所累计被窃取金额接近13.6亿美元。

Lazarus黑客组织窃取CoinsPaid 3720万加密货币

去年7月,爱沙尼亚加密支付服务提供商CoinsPaid称其遭遇网络攻击,价值3720万美元的加密货币被盗。此次攻击给该公司造成了重大的经济损失,并对支付平台的可用性产生了诸多不利影响,但该公司表示客户资金仍是安全的,该事件不会对公司的业务产生重大影响。

CoinsPaid称此次攻击的始作俑者是Lazarus黑客组织,他们的目标是获得更高的现金。

为了应对这次攻击,公司的专家团队加强了系统防护等级,以将攻击造成的影响降到最低,让Lazarus黑客组织无法达成预期的攻击效果。

该公司表示,工程师们正在将系统恢复到一个全新的安全环境中,所有服务也正在逐渐恢复正常。CoinsPaid公司首席执行官Max Krupyshev表示,Chainalysis, Binance, Crystal, Match Systems, Staked以及OKCoinJapan和Valkyrieinvest在事件发生后立即开展协助调查。爱沙尼亚执法当局也在接到通知后第一时间参与了追踪工作。

事实上,Lazarus黑客组织此番窃取加密货币的事件并非个案。根据网络安全公司 Recorded Future 发布的一份报告显示,Lazarus黑客组织在过去6年时间里共窃取了30亿美元的加密货币。

Lazarus朝鲜黑客在加密行业窃取加密货币的运作方式,通常与利用加密混合器、跨链交易和法币 OTC 的传统网络犯罪的运作方式相似。加上其背后资本站台,所以该组织的窃取行为能够扩大自身运作规模。值得注意的是,朝鲜黑客的目标并不局限于交易所,个人用户、风投公司以及其他技术和协议都曾受到朝鲜黑客行为的攻击。所有这些在行业运营的机构和工作的个人都有可能成为朝鲜黑客的潜在目标。任何在加密行业中任职的用户、交易所运营商以及初创企业创始人,都应该意识到可能成为黑客攻击的目标。

黑客攻击HTX交易平台,1.15亿资产被窃

去年11月22日,有黑客组织攻击HTX交易平台和区块链协议Heco Chain,并窃取了价值约1.15亿美元的虚拟货币资产。Heco Chain是原火币生态链的简称,由原火币成立。

图片来源:HTX官网

攻击事件发生后,HTX对此次黑客攻击事件作出多次回应。根据其官方公告,交易所承诺“全额赔偿此次攻击造成的损失,并100%保证用户资金的安全。作为预防措施,公司暂时停止了HTX平台和Heco链网关的充值和提现服务。

根据加密市场分析公司CryptoQuant的数据,至少有价值8540万美元的加密货币从Heco Chain 被盗。因此,HTX和Heco Chain共被窃取逾1.15亿美元资金。

次日,HTX官网再次发布公告,重申将全额赔偿用户因上述事件蒙受的损失,并表示与平台总资金相比,此次损失的资金金额很小。此外,HTX表示在24小时内恢复存取款服务。

这些攻击发生在几周前,当时另一家由孙宇晨支持的加密交易所 Poloniex 披露了一起攻击,导致损失超过 1 亿美元的各种加密货币。今年 9 月,HTX 也发生了安全漏洞,导致损失 800 万美元。

加密货币世界主要存在于数字领域,面临着众多不断变化的网络威胁,这些威胁所带来的风险,给个人和企业组织造成了重大损失。

近年来屡次发生的多起黑客攻击窃取加密货币的事件更是凸显了加密平台面临网络攻击的不断加剧的脆弱性。

随着加密货币行业的扩张和吸引更多用户,黑客也会继续利用安全漏洞来获取有价值的数字资产。交易所和其他平台必须实施强大的安全措施来保护用户资金并维护数字资产生态系统的信任。

快速迭代的加密货币攻击技术

在当今这个数字化时代,加密货币作为金融领域的一匹“黑马”,无疑用其独特的去中心化特性为用户带来了安全与便利。但随着加密货币市场的不断壮大,也吸引了越来越多的犯罪分子,他们利用技术漏洞与创新手段对这一领域发动各种攻击,挑战着数字资产的安全和稳定。

黑客对加密货币的攻击行为大致分为三大类:第一类是针对区块链、数字货币交易所以及ICO的攻击,第二类则是隐藏性挖矿软件的分布,第三类便是针对用户钱包的攻击。

自加密货币问世至今,已出现过多次大大小小的黑客攻击、数字货币被盗事件,数字货币的高价值性,吸引了大批黑客对其进行窃取。一般来说,黑客的常用手段包括以下六种:

利用Google Play和App Store上的应用非法访问用户账户。

利用加密货币的Slack机器人,黑客通过创建一个机器人,来诱导用户输入他们的密码问题,目的是强制用户单击该链接并输入私钥。

加密货币交易的附加组件所带来的可用于加密货币的挖掘的漏洞。

通过短信验证SMS直接访问手机的任何系统。

利用公共WiFi的漏洞使用户重新连到黑客的相同的WIFI网络,从而获得用户信息。

利用克隆网站和钓鱼网站吸引用户到站点强迫并克隆他们输入帐户的密码或密钥。

针对上述提到的黑客的手段,普通用户可以使用带有检测和防护功能的终端安全解决方案,来保护终端设备安全。切记不要安装不可信来源的应用程序,在所有用于上网的终端中使用广告屏蔽设备,可以减少未经同意就被迫挖矿的情况。

由于交易平台最容易被入侵,所以要选择可靠的交易平台,并设置独立密码,避免信息泄露后导致的撞库。不要在连接公共 WIFI的时候打开加密货币钱包,也不要在安全性差的网站上进行交易。同时要使用冷钱包存储加密货币并设置备份,注意避免使用来历不明的破解、激活工具,最好支持正版。

值得注意的是,除了以上几种常规的攻击方式外,还有个别比较先进的加密货币攻击技术。比如“BeatCoin”。这种攻击技术指的是在没有网络的物理隔离的情况下,能够从加密货币钱包中窃取私钥,从而获得比特币。在对抗性攻击模型中,攻击者能够通过使用恶意代码来攻击冷钱包。恶意软件可以在钱包应用安装之前隐蔽地安装,或者把可移动媒体(例如USB闪存驱动器)插入钱包所属的计算机中,以便它可以在交易签名时感染系统。

此类基于货币钱包的BeatCoin攻击有三种特性:

其一是物理隔离性:冷钱包是指使用时不需私钥联网的钱包,互联网无法访问私钥,比如专业的硬件设备,也称硬件钱包或离线钱包,一般通过USB接口、蓝牙、二维码等方式完成私钥签名。

其二是不可逆性:加密数字货币的不可追溯、不可挂失、匿名的特性,一旦数字资产丢失,想找回几乎是不可能的。

其三是隐蔽性:密钥能够通过物理,声,光,电磁,电,磁,热等方式的隐蔽信道传输到附近的联网计算机,智能手机,摄像头等其他接收器中,从而能够隐蔽地进行数据窃取而人无法察觉。

通过BeatCoin攻击技术我们不难发觉,黑客往往会利用系统中的最大的漏洞对加密钱包实行攻击,然后通过人难以察觉的方式来窃取加密货币。

从技术层面上来讲,利用过滤防病毒程序(AV),基于主机的入侵检测系统(HID)和基于主机的入侵防御系统(HIP)可防止货币钱包感染恶意木马。

当然,目前加密也在积极地采取措施反击这些网络威胁,包括实施 KYC 和 AML 法规、双重身份验证、冷存储、区块链分析和漏洞奖励等等。这些措施也将有助于保护用户并防止犯罪分子利用加密货币的去中心化特性。

结语

由于加密货币的匿名性和易于交易的特性,近年来它的使用频率越来越高。不可否认,加密货币的确为交易流程带来了诸多好处,比如增加隐私和简化交易等。但与此同时,加密货币的匿名性、去中心化等特性也使其对从事欺诈活动和网络犯罪的犯罪分子具有吸引力,极易出现欺诈和网络犯罪事件。

根据美国公司Foley&Lardner进行的一项研究表明,71%的大型加密货币交易商和投资者认为,加密货币盗窃主要原因是来自恶意软件和黑客的袭击。

图片来源:Foley&Lardner

不过由于目前加密货币服务越来越被抵制,以及用户自身水平的提高,黑客逐渐失去了对钱包进行野蛮攻击的兴趣。当前,黑客的焦点已经转向了隐匿挖矿。

2024年,在面对加密货币市场的复苏与热度回升的情况之下,为确保整个加密货币生态的稳定发展,必须加强监管、提高安全意识,并强化技术保护措施。

正如著名的Mac恶意软件专家Patrick Wardle所说的,通过加密、防病毒软件和多因素认证等,用户的资产只会在一定程度上处于安全状态,但关键还是得靠用户对防治措施和简单安全常识的理解。

参考链接:

https://www.bleepingcomputer.com/news/security/coinspaid-blames-lazarus-hackers-for-theft-of-37-300-000-in-crypto/

https://www.unodc.org/roseap/uploads/documents/Publications/2024/Casino_Underground_Banking_Report_2024.pdf

https://www.secrss.com/articles/63109

https://mp.weixin.qq.com/s?__biz=MzIwMDczMjY2NQ==&mid=2247486891&idx=1&sn=c7201413c396558c45fbcb4ebbacb686&source=41#wechat_redirect

0 阅读:0

FreeBuf

简介:国内头部网络安全媒体。