本文來自Chainalysis ,原文作者:Chainalysis Team
Odaily 譯者 | Moni
所謂”道高一尺魔高一丈“,2019 年,加密貨幣交易所與駭客之間的較量愈演愈烈,雖然駭客實施的攻擊數量越來越多,但相比於 2018 年,他們似乎並沒有從交易所那裡竊走太多資金。
上圖是量化的 2019 年受攻擊的加密貨幣交易所統計,每個條狀欄上的不同顏色代表了當年各個獨立駭客盜竊的加密貨幣量,涉及的加密貨幣包括:比特幣(BTC)、比特幣現金(BCH)、以太坊(ETH)、萊特幣(LTC)、瑞波幣(XRP)、ADA、EOS、NANO、NEM、USDT 等。
從上圖資料來看,2019 年發生的加密貨幣駭客攻擊數量超過了過去的任何一年。但是在去年發生的 11 次攻擊事件中,並沒有“太多”資金被盜——這意味著,儘管攻擊次數增加,但從加密貨幣交易所中被竊的加密貨幣總價值“只有”2.83 億美元,要知道 2014 年“頭門溝”(Mt.Gox)的攻擊就損失了 4.73 億美元,而 2018 年 Coinchek 在駭客攻擊中的損失更是高達 5.34 億美元。
鑑於媒體和其他訊息源可能報道不同的數字,因此讓我們先解釋一下是如何得出 2019 年加密貨幣交易所攻擊資料的:
1、我們統計的範圍包括:1)涉及利用技術漏洞的駭客攻擊;2)透過社會工程或其他形式欺詐手段實施的攻擊。(星球君 o-daily 在此提供一些有關術語的註釋:雖然所有駭客都是攻擊,但並非所有攻擊都是駭客。駭客專門指的是利用軟體技術漏洞實施攻擊的不良行為者,而攻擊範圍其實也包括其他非技術性行為,例如網路釣魚攻擊、誘騙受害者下載惡意軟體等。)
2、我們統計的攻擊僅包含允許不良行為者訪問屬於加密貨幣交易所資金,不包括支付處理商、錢包服務提供商、投資平臺、或是針對其他型別服務訪問的攻擊。
3、我們沒有統計加密貨幣交易所退出欺詐或使用者利用加密貨幣交易所漏洞的情況,比如 Synthetix 使用者利用交易中的價格差異”漏洞“淨賺了 10 億美元。
4、我們僅包含了透過多個資料來源衡量並公開確認被盜金額的攻擊,這意味著其中不會包含加密貨幣交易所使用者資料遭到破壞、但沒有加密貨幣被盜的事件。此外,我們還排除了那些私下向我們舉報的駭客攻擊事件,這些事件應該不會對本文分析的資料產生較大影響。
在上述這些框架之下,我們還剔除了那些針對較小金額數量的加密貨幣駭客攻擊,雖然這麼做可能會使加密貨幣交易所駭客攻擊的損失金額估算降到一個較低的界限,但其實並不會對統計產生太大影響。
量化 2019 年加密貨幣交易所攻擊
上圖表量化了 2019 年加密貨幣交易所遭受攻擊的情況,涉及的加密貨幣包括比特幣(BTC)、比特幣現金(BCH)、以太坊(ETH)、萊特幣(LTC)、瑞波幣(XRP)、ADA、EOS、NANO、NEM、USDT 等。
在 Coinbene 遭受超過 1.05 億美元被竊之後,我們沒有發現規模更大的駭客攻擊事件了,雖然過去三年時間裡每年駭客攻擊數量都有所增長,但是在 2019 年駭客攻擊的平均金額和中位數金額等指標均出現大幅下降。與 2018 年的駭客攻擊相比,我們在2019年觀察到的駭客攻擊中,只有 54% 的被竊金額超過了 1000 萬美元。儘管個體駭客數量有所增加值得我們關注,但根據資料表明,加密貨幣交易所在維護資金不受駭客攻擊影響方面已經取得了較好的進步。
駭客攻擊之後,資金都流向了哪裡?
使用區塊鏈分析,我們可以追蹤駭客竊取的資金流向,並瞭解他們會如何清算這些非法獲取的資金。下面,我們將按照年度細分來看看加密貨幣交易所被盜資金都流到了哪些最常見的目的地。
實際上,遭受駭客攻擊的加密貨幣交易所大部分被竊資金最終都被髮送到了其他加密貨幣交易所,然後在那裡被轉化為法定貨幣。但是仍有很大一部分盜竊資金沒有任何“動靜”,有時駭客會等待數年時間才會偷偷轉賬。不過在這種情況下,執法部門仍有機會沒收被盜資金,我們會在後文中做進一步探索。有一小部分被盜資金會透過第三方混合器(Mixer)或 CoinJoin 錢包進行轉移,以掩蓋其非法來源,但是這部分資金在 2019 年已經有所增加。需要說明的是,上表中所有混合資金都是根據混合發生之後被髮送至的最終目的地進行分類的。
針對加密貨幣交易所升級的安全措施,駭客又有什麼“新招”應對呢?
為了更好地保護客戶資金免遭駭客攻擊,加密貨幣交易所已經取得了長足的進步,透過因為駭客攻擊的損失金額急劇減少就可以看出,交易所的努力已經取得了一定程度的成功。現在,許多加密貨幣交易所只會把很小比例的資金儲存在安全性較低的熱錢包裡,僅僅為了滿足客戶的提款授權。此外,越來越多加密貨幣交易所已經開始更密切地監視交易以便甄選出可疑活動,並較早發現潛在駭客行為。透過調查 2019 年加密貨幣交易所駭客攻擊情況,我們還發現如今在面對駭客攻擊的時候,不少加密貨幣交易所會選擇主動出擊,而不是像過去那樣“被動挨打”,而且他們也更願意與其他加密貨幣社羣共享詳細資訊,使追查被盜資金變得更加容易。
與此同時,不管是實施駭客攻擊,還是後續的洗錢,駭客也在變得越來越老練。雖然這種情況不是什麼好兆頭,但從另一個角度來看,也表明此前加密貨幣交易所採取的保護措施收到了一定成效,也正是因為如此,才會迫使駭客研究、採取新的攻擊手段。正如我們將向您展示的,加密貨幣交易所和執法機構其實可以採取一些具體措施來應對駭客的新型攻擊策略。
在此,就讓星球君(微信:o-daily)和大家分析一個知名網路犯罪組織 Lazarus Group 的駭客活動,然後看看如今的駭客採用了哪些新型攻擊策略吧。
Lazarus Group 在 2019 年的攻擊手段變得越來越“先進”了
Lazarus Group 是一個臭名昭著的網路犯罪集團,也被網路安全專家視為威脅級別最高的駭客組織,人們普遍認為 2014 年 Sony Pictures 被攻擊、以及 2017 年WannaCry 勒索軟體攻擊和許多其他加密貨幣交易所攻擊都與 Lazarus Group 有關。在 Chainalysis 於 2019 年釋出的《加密犯罪報告》(Crypto Crime Report)裡,研究人員分析了 Lazarus Group 針對加密貨幣交易所的駭客活動,並將其冠以“Beta Group”的非法組織稱號。
為了經對加密貨幣交易所的安全措施,2019 年,Lazarus Group 對其駭客和洗錢策略實施了三大重要更新:
1、更復雜的網路釣魚策略。Lazarus Group 過去一直依靠社會工程學來攻擊加密貨幣交易所,他們通常會誘使交易所員工下載惡意軟體,從而使其可以控制、使用使用者的資金。但是在去年的一次加密貨幣交易所攻擊中,Lazarus Group 使用了設計更為“精妙”的策略,並執行了一個設計無比精心的網路釣魚方案,我們已經發現這種方案的確奏效,而且很容易就控制並竊取使用者的資金。
2、越來越多地使用混合器和 CoinJoin 錢包。2019 年,越來越多駭客透過使用混合器傳送從加密貨幣交易所竊取的資金。更具體地說,對於 Lazarus Group 這家駭客組織而言,他們使用了 CoinJoin 錢包。混合器透過彙集多個使用者的加密貨幣來混淆資金流向,並從每個使用者池中返還其最初投入相等的金額(一般會扣除1-3%的服務費)。每個人的資金都會於其他人投入的資金“混合”起來,這使得追蹤某個特定使用者的資金輸入和輸出關係變得更加困難。許多犯罪分子使用混合器隱藏非法加密貨幣的來源,然後再將其轉移到其他服務裡。以底層 CoinJoin 協議命名的 CoinJoin 錢包——比如 Wasabi Wallet,該服務允許多個使用者將其付款不信任地加入到具有多個收件人的單個交易中。
3、非法資金的清算速度更快了。相比於 2018 年,我們還發現像 Lazarus Group 這樣的駭客轉移清算盜竊加密貨幣交易所資金的速度更快了。這種趨勢表明,駭客在 2019 年的洗錢能力有所提升,而且在處理盜竊資金的時候優先考慮的就是速度。
接下來,讓我們來看看 Lazarus Group 是如何會運用這些新策略的。
策略一:Lazarus Group 如何利用虛假公司誘騙網路釣魚
2019 年 3 月,駭客入侵了新加坡加密貨幣交易所 DragonEx,竊走了價值大約 700 萬美元的加密貨幣,包括比特幣、瑞波幣(Ripple)和萊特幣(Litecoin)。DragonEx 迅速做出反應,在各種社交媒體平臺上宣佈遭到駭客攻擊,併發布了其資金已轉移到的 20 個錢包地址列表。這樣一來,其他加密貨幣交易所就可以標記這些錢包地址並凍結與它們相關的帳戶,從而使攻擊者更難轉移資金。不僅如此,DragonEx 還迅速聯絡了 Chainalysis,並與法律機構一起尋求幫助。
儘管 DragonEx 駭客攻擊的規模相對較小,但值得注意的是,Lazarus Group 是以一種複雜的網路釣魚攻擊方式滲透進了該加密貨幣交易所的系統,他們建立了一家虛假公司,聲稱可以提供一個名為“Worldbit-bot”的自動化加密貨幣交易機器人,而且配備了可滿足員工需求的華麗網站頁面和社交媒體賬戶。
Lazarus Group 甚至開發出了一個銷售交易機器人的軟體產品——當然,他們在軟體中嵌入了惡意軟體,從而使駭客可以訪問下載該程式使用者的計算機。Lazarus Group 的駭客們向 DragonEx 員工提供了該軟體的免費試用版,並說服該交易所裡的人將其下載到包含錢包專用金鑰的計算機上,最終駭客成功竊取了金鑰並盜走了價值數百萬美元的加密貨幣。
大多數網路釣魚只會依賴電子郵件或小型網站,但 Lazarus Group 設計“Worldbit-bot”加密貨幣自動化交易機器人官網(如上圖所示)顯然專業度更高,這也從側面顯示出他們可支配的時間和資源豐富,而且對交易參與者如何訪問加密貨幣生態系統有非常深入的瞭解。
策略二:混合器使用率開始提高,兌現非法資金速度加快,凸顯 Lazarus Group 洗錢策略變化
在去年釋出的《加密犯罪報告》中,Chainalysis 分析了 2018 年加密貨幣交易所駭客洗錢的操作手法,但是現在 Lazarus Group 並沒有像其他知名駭客組織那樣使用混合器等複雜的洗錢技術來快速“清算”和取出被盜的加密貨幣。相反,他們反而會把被盜資金存放在錢包裡一段時間,比如 12-18 個月,然後當風平浪靜之後再偷偷把被盜資金轉移到 KYC(瞭解你的客戶)合規要求較低的加密貨幣交易所。
我們得出的結論是:Lazarus Group 這種做法主要處於財務上的考量,儘管其他知名駭客組織似乎還是傾向於透過混淆交易目標以避免被發現,但 Lazarus Group 的行為表明他們更願意將被盜的加密貨幣轉化為現金,即便這種做法需要等待更長時間,還需要透過加密貨幣交易所且容易追蹤。按照美國政府報告的說法,朝鮮利用來自加密貨幣交易所駭客和其他金融犯罪的資金為其大規模殺傷性武器(WMD)和彈道導彈計劃提供了支援,而這其實也是 Lazarus Group 開展攻擊的目標。
雖然我們不知道 Lazarus Group 在 2019 年的攻擊動機是否發生了變化,但可以確定的是,他們在轉移和套現從加密貨幣交易所盜竊資金的手段已經發生了變化,其中最顯著的就是他們轉移到混合器裡的資金比例已經越來越高了。
上圖:2017-2019 年被 Lazarus Group 竊取的加密貨幣交易所資金(比特幣)目的地
2018 年,在所有 Lazarus Group 從加密貨幣交易所竊取的資金中,有 98% 最終被轉移到了加密貨幣交易所,而沒有一個流入到混合器或 CoinJoin 錢包裡,但這些交易所有一個共同點,那就是:對 KYC 的合規要求都非常低。但是在 2019 年,Lazarus Group 所有從加密貨幣交易所竊取的資金中有 48% 轉移到了 CoinJoin 錢包,50% 的資金依然存放在駭客的原始錢包裡,沒有任何動作。
我們可以使用 Chainalysis Reactor 來檢視此資料,以比較 Lazarus Group 自 2018 年以來和自 2019 年以來的相關的非法加密貨幣交易活動。
Chainalysis Reactor:2018 年 Lazarus Group 攻擊加密貨幣交易所獲得資金的轉移行為
從上圖中,我們可以看到 Lazarus Group 在 2018 年的一次加密貨幣交易所駭客攻擊之後是如何轉移被盜資金的。由於交易數量眾多,上圖可能會看起來非常複雜,但只要理清思路其實理解起來並不困難。上圖的最左側是受到攻擊的加密貨幣交易所錢包地址,資金就是從這個地址離開的,之後資金經過了兩個中間錢包,然後分散到了右側的四個不同的加密貨幣交易所,而兩者之間的眾多跳躍點代表了資金只是從一個錢包轉移到一個交易所,並沒有任何支付變化——儘管資金路徑看上去很長,但追蹤起來其實並不困難。
Chainalysis Reactor:2019 年 Lazarus Group 攻擊加密貨幣交易所獲得資金的轉移行為
上圖 Chainalysis Reactor 分析展示了 Lazarus Group 如何在 2019 年 DragonEx 加密貨幣交易所遭受攻擊之後駭客是如何轉移資金的。在這種情況下,以太坊和萊特幣等被盜的山寨幣被轉移到了加密貨幣交易所,之後又被兌換成了比特幣。接下來,駭客又從加密貨幣交易所的各種本地錢包裡把比特幣取出進行洗錢,最終將其轉移到最右邊的 Wasabi Wallet,並透過 CoinJoin 協議混合盜竊資金。
上圖是四個攻擊對比,旨在展示駭客如何在攻擊加密貨幣交易所之後“清算”盜竊資金(比特幣)。據悉,Lazarus Group 還將盜竊的資金轉移到了可以清算的服務中(主要是加密貨幣交易所),而且他們在 2019 年的轉移速度顯然快了很多。在 2018 年,Lazarus Group 平均花費長達 500 天的時間才將盜竊資金從最初的私人錢包轉移到清算服務中,而在 2019 年,他們只花費了 250 天時間。我們發現,駭客的轉移資金速度在 2019 年發生了巨大變化,尤其是有兩次攻擊,Lazarus Group 只用了 60 天時間將把所有被盜資金轉移到了清算服務裡(儘管其中有一些資金仍未使用),而且其他駭客組織群體也開始遵循這一趨勢。
Lazarus Group 的駭客攻擊手段越來越複雜,洗錢的速度也變得越來越快,這給情報機構和加密貨幣交易所帶來的壓力也與日俱增,更要求他們在遭受網路犯罪攻擊的時候不得不更快速地採取行動。
加密貨幣交易所依然需要優先考慮安全性
在過去的幾年中,為了對抗駭客攻擊,許多加密貨幣交易所都提高了安全性門檻,但同時我們也發現,像 Lazarus Group 這樣的駭客也在不斷改變攻擊策略,這使得加密貨幣交易所不得不進一步提升安全維護成本——他們需要時刻保持警惕,並繼續以他們已經取得的成績為基礎,始終保持能比駭客領先一步。我們建議加密貨幣交易所可以設定防護欄,以確保可疑交易在完成之前被標記,同時還要採取措施防止員工下載可能危害其網路並允許駭客訪問交易所私鑰的惡意軟體。萬一加密貨幣交易所真的受到駭客攻擊,需要立即向執法部門報告,並提供關鍵資訊:例如被盜資金轉移到的地址等。
除了保護自己免受駭客攻擊之外,加密貨幣交易所還有責任確保不會被犯罪分子利用,“幫助”他們提取竊取的資金。我們(Chainalysis)建議,一旦加密貨幣交易所發現從混合器或 CoinJoin 錢包出現大筆存款(或是短時間內出現大量小額存款),就需要立即提高警惕。儘管混合器有合法用途,但資料清楚地表明,越來越多的駭客開始使用這種工具來混淆之前盜竊的加密貨幣路徑,並繞過監管來套現。在這種情況下,加密貨幣交易所其實可以停止其中一些套現交易,並透過中止來自混合器的可疑交易來幫助執法部門追回被竊資金。就目前而言,幣安已經開始這麼做了,因此這種模型其實可以成為其他加密貨幣交易所效防的案例。
最後,我們認為強執法機構之間的跨境合作可以大大減少加密貨幣交易所被駭客入侵的風險。如果全球的金融情報部門(financial intelligence units)可以在駭客實施攻擊之後迅速共享從加密貨幣交易所獲得的資訊,那麼就能立刻凍結被竊資金,駭客也就無法將其轉移到混合器或是 KYC 合規要求較低的加密貨幣交易所了。
