HAI:Chainalysis 2020加密犯罪报告:交易所安全有提升,但黑客也更老练_CHA

Odaily译者|Moni

所谓”道高一尺魔高一丈“,2019年,加密货币交易所与黑客之间的较量愈演愈烈,虽然黑客实施的攻击数量越来越多,但相比于2018年,他们似乎并没有从交易所那里窃走太多资金。

上图是量化的2019年受攻击的加密货币交易所统计,每个条状栏上的不同颜色代表了当年各个独立黑客盗窃的加密货币量,涉及的加密货币包括:比特币、比特币现金、以太坊、莱特币、瑞波币、ADA、EOS、NANO、NEM、USDT等。从上图数据来看,2019年发生的加密货币黑客攻击数量超过了过去的任何一年。但是在去年发生的11次攻击事件中,并没有“太多”资金被盗——这意味着,尽管攻击次数增加,但从加密货币交易所中被窃的加密货币总价值“只有”2.83亿美元,要知道2014年“头门沟”的攻击就损失了4.73亿美元,而2018年Coinchek在黑客攻击中的损失更是高达5.34亿美元。鉴于媒体和其他消息源可能报道不同的数字,因此让我们先解释一下是如何得出2019年加密货币交易所攻击数据的:1、我们统计的范围包括:1)涉及利用技术漏洞的黑客攻击;2)通过社会工程或其他形式欺诈手段实施的攻击。2、我们统计的攻击仅包含允许不良行为者访问属于加密货币交易所资金,不包括支付处理商、钱包服务提供商、投资平台、或是针对其他类型服务访问的攻击。3、我们没有统计加密货币交易所退出欺诈或用户利用加密货币交易所漏洞的情况,比如Synthetix用户利用交易中的价格差异”漏洞“净赚了10亿美元。4、我们仅包含了通过多个数据源衡量并公开确认被盗金额的攻击,这意味着其中不会包含加密货币交易所用户数据遭到破坏、但没有加密货币被盗的事件。此外,我们还排除了那些私下向我们举报的黑客攻击事件,这些事件应该不会对本文分析的数据产生较大影响。在上述这些框架之下,我们还剔除了那些针对较小金额数量的加密货币黑客攻击,虽然这么做可能会使加密货币交易所黑客攻击的损失金额估算降到一个较低的界限,但其实并不会对统计产生太大影响。量化2019年加密货币交易所攻击

动态 | 人民网:区块链将迎来行业升级、产业链重塑等五大发展利好:人民网今日发表文章《区块链将迎来五大发展利好》,文中提到,总书记近日要把区块链作为核心技术自主创新的重要突破口的讲话,给区块链产业带来了重大影响,会加速区块链行业的变革,具体体现在:1、推动区块链行业升级;2、推动区块链底层技术发展;3、有利于商业模式可持续发展;4、促进产业链重塑;5、推动区块链行业安全有序发展。[2019/10/28]

上图表量化了2019年加密货币交易所遭受攻击的情况,涉及的加密货币包括比特币、比特币现金、以太坊、莱特币、瑞波币、ADA、EOS、NANO、NEM、USDT等。在Coinbene遭受超过1.05亿美元被窃之后,我们没有发现规模更大的黑客攻击事件了,虽然过去三年时间里每年黑客攻击数量都有所增长,但是在2019年黑客攻击的平均金额和中位数金额等指标均出现大幅下降。与2018年的黑客攻击相比,我们在2019年观察到的黑客攻击中,只有54%的被窃金额超过了1000万美元。尽管个体黑客数量有所增加值得我们关注,但根据数据表明,加密货币交易所在维护资金不受黑客攻击影响方面已经取得了较好的进步。黑客攻击之后,资金都流向了哪里?

使用区块链分析,我们可以追踪黑客窃取的资金流向,并了解他们会如何清算这些非法获取的资金。下面,我们将按照年度细分来看看加密货币交易所被盗资金都流到了哪些最常见的目的地。

实际上,遭受黑客攻击的加密货币交易所大部分被窃资金最终都被发送到了其他加密货币交易所,然后在那里被转化为法定货币。但是仍有很大一部分盗窃资金没有任何“动静”,有时黑客会等待数年时间才会偷偷转账。不过在这种情况下,执法部门仍有机会没收被盗资金,我们会在后文中做进一步探索。有一小部分被盗资金会通过第三方混合器或CoinJoin钱包进行转移,以掩盖其非法来源,但是这部分资金在2019年已经有所增加。需要说明的是,上表中所有混合资金都是根据混合发生之后被发送至的最终目的地进行分类的。针对加密货币交易所升级的安全措施,黑客又有什么“新招”应对呢?

分析 | TRX上涨结构保持完好 利好预期或将继续上行:据huobi行情显示,TRX当前报价0.0338美元,日内涨幅0.84%。

针对当前走势,分析师Potter表示,TRX/BTC从开盘交易起至目前整体走势基本处于下方关键日线支撑线上方运行,可以看出目前TRX/BTC已再次向下贴近长期支撑线附近,近期走势形成一个M头,下方关键颈线支撑同时也是长期日线底部支撑线,表明该区间的强支撑性,并且TRX/BTC昨天尝试向上突破近一个月来的日线下行趋势线压制,不过未能有效突破再次跌落下来,日线MACD贴近0轴快慢线粘合,近期在BTC单边持续拉升的形势下,TRX/BTC预计近期将处于长期底部强支撑260sats附近小幅震荡,蓄势后再次尝试上冲突破日线下降趋势线。再看TRX/USDT从18年底至目前近8个月的长期走势,币价在去年11月向下插针触及大底开启反弹行情,并在19年初尝试突破通道上边线,不过未能站稳再次跌落至通道区间内,至目前整体仍处于上升通道内一路上行,近期成交量规律性萎缩,MACD红柱缩短贴近0轴,DIF有金叉DEA趋势,TRX近期有再次走强趋势,消息面7月也有和巴菲特吃饭的利好预期,并且TRX目前处于5日均线上方,这两天在做一个回踩的动作,若能站稳不破并维持放量,后续TRX或将沿5日线继续上行,小支撑0.033美元.[2019/7/9]

为了更好地保护客户资金免遭黑客攻击,加密货币交易所已经取得了长足的进步,通过因为黑客攻击的损失金额急剧减少就可以看出,交易所的努力已经取得了一定程度的成功。现在,许多加密货币交易所只会把很小比例的资金保存在安全性较低的热钱包里,仅仅为了满足客户的提款授权。此外,越来越多加密货币交易所已经开始更密切地监视交易以便甄选出可疑活动,并较早发现潜在黑客行为。通过调查2019年加密货币交易所黑客攻击情况,我们还发现如今在面对黑客攻击的时候,不少加密货币交易所会选择主动出击,而不是像过去那样“被动挨打”,而且他们也更愿意与其他加密货币社区共享详细信息,使追查被盗资金变得更加容易。与此同时,不管是实施黑客攻击,还是后续的,黑客也在变得越来越老练。虽然这种情况不是什么好兆头,但从另一个角度来看,也表明此前加密货币交易所采取的保护措施收到了一定成效,也正是因为如此,才会迫使黑客研究、采取新的攻击手段。正如我们将向您展示的,加密货币交易所和执法机构其实可以采取一些具体措施来应对黑客的新型攻击策略。在此,就让星球君和大家分析一个知名网络犯罪组织LazarusGroup的黑客活动,然后看看如今的黑客采用了哪些新型攻击策略吧。LazarusGroup在2019年的攻击手段变得越来越“先进”了

声音 | 许子敬:摩根大通的入局是一个重大利好:火星人许子敬刚刚在微博表示,摩根大通JPMC的诞生,让不少区块链从业者感到恐慌,认为巨头玩家进入使得市场一下子饱和。但巨头也有巨头的局限性:比如科层化官僚化的低效制度,在重大技术机遇面前选择的果断程度,自我革命的决心和意志,这些都阻碍了它们真正地拥抱新技术浪潮,从诺基亚到柯达,莫不如是。 反而我觉得JPMC对于现有区块链行业是一个重大利好,在对区块链持续数年的质疑之后,“打不赢就入伙“成为了巨头们必然的选择。不管阿里链、腾讯链、摩根链、IBM链……这些项目未来表现如何,客观上都为教育大众和培养人才作出了重要贡献。只有从业人才素质不断提升,区块链行业才有未来。 ????[2019/2/16]

LazarusGroup是一个臭名昭著的网络犯罪集团,也被网络安全专家视为威胁级别最高的黑客组织,人们普遍认为2014年SonyPictures被攻击、以及2017年WannaCry勒索软件攻击和许多其他加密货币交易所攻击都与LazarusGroup有关。在Chainalysis于2019年发布的《加密犯罪报告》里,研究人员分析了LazarusGroup针对加密货币交易所的黑客活动,并将其冠以“BetaGroup”的非法组织称号。为了经对加密货币交易所的安全措施,2019年,LazarusGroup对其黑客和策略实施了三大重要更新:1、更复杂的网络钓鱼策略。LazarusGroup过去一直依靠社会工程学来攻击加密货币交易所,他们通常会诱使交易所员工下载恶意软件,从而使其可以控制、使用用户的资金。但是在去年的一次加密货币交易所攻击中,LazarusGroup使用了设计更为“精妙”的策略,并执行了一个设计无比精心的网络钓鱼方案,我们已经发现这种方案的确奏效,而且很容易就控制并窃取用户的资金。2、越来越多地使用混合器和CoinJoin钱包。2019年,越来越多黑客通过使用混合器发送从加密货币交易所窃取的资金。更具体地说,对于LazarusGroup这家黑客组织而言,他们使用了CoinJoin钱包。混合器通过汇集多个用户的加密货币来混淆资金流向,并从每个用户池中返还其最初投入相等的金额。每个人的资金都会于其他人投入的资金“混合”起来,这使得追踪某个特定用户的资金输入和输出关系变得更加困难。许多犯罪分子使用混合器隐藏非法加密货币的来源,然后再将其转移到其他服务里。以底层CoinJoin协议命名的CoinJoin钱包——比如WasabiWallet,该服务允许多个用户将其付款不信任地加入到具有多个收件人的单个交易中。3、非法资金的清算速度更快了。相比于2018年,我们还发现像LazarusGroup这样的黑客转移清算盗窃加密货币交易所资金的速度更快了。这种趋势表明,黑客在2019年的能力有所提升,而且在处理盗窃资金的时候优先考虑的就是速度。接下来,让我们来看看LazarusGroup是如何会运用这些新策略的。策略一:LazarusGroup如何利用虚假公司诱网络钓鱼

声音 | CNBC主持人:利好消息未推动加密货币市场原因在于其正在寻求大规模应用:据Cointelegraph消息,尽管本周加密货币行业出现了重大消息,包括机构投资以及美国证交会对其备受期待的比特币ETF决策的更新,但加密货币市场仍保持稳定,并没有特别明显的反应。CNBC主持人Ran Neuner近期也表示:所有的好消息都没有推动市场,尽管这些都是与投资和投机有关的新闻。TD Ameritrade,耶鲁大学等等。也许这些消息没有改变市场的原因是因为其现在正在寻找一种不同的叙述方式,即寻求现实世界中的大规模采用。[2018/10/7]

2019年3月,黑客入侵了新加坡加密货币交易所DragonEx,窃走了价值大约700万美元的加密货币,包括比特币、瑞波币和莱特币。DragonEx迅速做出反应,在各种社交媒体平台上宣布遭到黑客攻击,并发布了其资金已转移到的20个钱包地址列表。这样一来,其他加密货币交易所就可以标记这些钱包地址并冻结与它们相关的帐户,从而使攻击者更难转移资金。不仅如此,DragonEx还迅速联系了Chainalysis,并与法律机构一起寻求帮助。尽管DragonEx黑客攻击的规模相对较小,但值得注意的是,LazarusGroup是以一种复杂的网络钓鱼攻击方式渗透进了该加密货币交易所的系统,他们创建了一家虚假公司,声称可以提供一个名为“Worldbit-bot”的自动化加密货币交易机器人,而且配备了可满足员工需求的华丽网站页面和社交媒体账户。

LazarusGroup甚至开发出了一个销售交易机器人的软件产品——当然,他们在软件中嵌入了恶意软件,从而使黑客可以访问下载该程序用户的计算机。LazarusGroup的黑客们向DragonEx员工提供了该软件的免费试用版,并说服该交易所里的人将其下载到包含钱包专用密钥的计算机上,最终黑客成功窃取了密钥并盗走了价值数百万美元的加密货币。大多数网络钓鱼只会依赖电子邮件或小型网站,但LazarusGroup设计“Worldbit-bot”加密货币自动化交易机器人官网显然专业度更高,这也从侧面显示出他们可支配的时间和资源丰富,而且对交易参与者如何访问加密货币生态系统有非常深入的了解。策略二:混合器使用率开始提高,兑现非法资金速度加快,凸显LazarusGroup策略变化

市场利好频出,BTC成交量放大:据TokenInsight 数据显示,反映区块链行业整体表现的TI指数北京时间15日9时30分报851.65点,较昨日同期上涨49.85点,涨幅6.22%。通用平台指数TIG报904.24点,较昨日同期上涨56.45点,涨幅6.66%。另据监测显示,BTC社群活跃度增速为0.1%,较上周同期持平;转账数48小时内上升36%至23万。BTC本周算力增长较上周减缓4%。BCtrend分析师认为,BTC交易量有效放大,4小时级别K线企稳,市场修复需求加大。分析师币东邪认为,市场利好频出:美国SEC官员表示BTC和ETH不是证券;重庆大力推动区块链产业发展并计划成立交易所;EOS主网上线。市场交易量逐渐增加,建议投资者保留资金,月底前可分批加仓。[2018/6/15]

在去年发布的《加密犯罪报告》中,Chainalysis分析了2018年加密货币交易所黑客的操作手法,但是现在LazarusGroup并没有像其他知名黑客组织那样使用混合器等复杂的技术来快速“清算”和取出被盗的加密货币。相反,他们反而会把被盗资金存放在钱包里一段时间,比如12-18个月,然后当风平浪静之后再偷偷把被盗资金转移到KYC合规要求较低的加密货币交易所。我们得出的结论是:LazarusGroup这种做法主要处于财务上的考量,尽管其他知名黑客组织似乎还是倾向于通过混淆交易目标以避免被发现,但LazarusGroup的行为表明他们更愿意将被盗的加密货币转化为现金,即便这种做法需要等待更长时间,还需要通过加密货币交易所且容易追踪。按照美国政府报告的说法,朝鲜利用来自加密货币交易所黑客和其他金融犯罪的资金为其大规模杀伤性武器和弹道导弹计划提供了支持,而这其实也是LazarusGroup开展攻击的目标。虽然我们不知道LazarusGroup在2019年的攻击动机是否发生了变化,但可以确定的是,他们在转移和套现从加密货币交易所盗窃资金的手段已经发生了变化,其中最显著的就是他们转移到混合器里的资金比例已经越来越高了。

上图:2017-2019年被LazarusGroup窃取的加密货币交易所资金目的地2018年,在所有LazarusGroup从加密货币交易所窃取的资金中,有98%最终被转移到了加密货币交易所,而没有一个流入到混合器或CoinJoin钱包里,但这些交易所有一个共同点,那就是:对KYC的合规要求都非常低。但是在2019年,LazarusGroup所有从加密货币交易所窃取的资金中有48%转移到了CoinJoin钱包,50%的资金依然存放在黑客的原始钱包里,没有任何动作。我们可以使用ChainalysisReactor来查看此数据,以比较LazarusGroup自2018年以来和自2019年以来的相关的非法加密货币交易活动。ChainalysisReactor:2018年LazarusGroup攻击加密货币交易所获得资金的转移行为

从上图中,我们可以看到LazarusGroup在2018年的一次加密货币交易所黑客攻击之后是如何转移被盗资金的。由于交易数量众多,上图可能会看起来非常复杂,但只要理清思路其实理解起来并不困难。上图的最左侧是受到攻击的加密货币交易所钱包地址,资金就是从这个地址离开的,之后资金经过了两个中间钱包,然后分散到了右侧的四个不同的加密货币交易所,而两者之间的众多跳跃点代表了资金只是从一个钱包转移到一个交易所,并没有任何支付变化——尽管资金路径看上去很长,但追踪起来其实并不困难。ChainalysisReactor:2019年LazarusGroup攻击加密货币交易所获得资金的转移行为

上图ChainalysisReactor分析展示了LazarusGroup如何在2019年DragonEx加密货币交易所遭受攻击之后黑客是如何转移资金的。在这种情况下,以太坊和莱特币等被盗的山寨币被转移到了加密货币交易所,之后又被兑换成了比特币。接下来,黑客又从加密货币交易所的各种本地钱包里把比特币取出进行,最终将其转移到最右边的WasabiWallet,并通过CoinJoin协议混合盗窃资金。

上图是四个攻击对比,旨在展示黑客如何在攻击加密货币交易所之后“清算”盗窃资金。据悉,LazarusGroup还将盗窃的资金转移到了可以清算的服务中,而且他们在2019年的转移速度显然快了很多。在2018年,LazarusGroup平均花费长达500天的时间才将盗窃资金从最初的私人钱包转移到清算服务中,而在2019年,他们只花费了250天时间。我们发现,黑客的转移资金速度在2019年发生了巨大变化,尤其是有两次攻击,LazarusGroup只用了60天时间将把所有被盗资金转移到了清算服务里,而且其他黑客组织群体也开始遵循这一趋势。LazarusGroup的黑客攻击手段越来越复杂,的速度也变得越来越快,这给情报机构和加密货币交易所带来的压力也与日俱增,更要求他们在遭受网络犯罪攻击的时候不得不更快速地采取行动。加密货币交易所依然需要优先考虑安全性

在过去的几年中,为了对抗黑客攻击,许多加密货币交易所都提高了安全性门槛,但同时我们也发现,像LazarusGroup这样的黑客也在不断改变攻击策略,这使得加密货币交易所不得不进一步提升安全维护成本——他们需要时刻保持警惕,并继续以他们已经取得的成绩为基础,始终保持能比黑客领先一步。我们建议加密货币交易所可以设置防护栏,以确保可疑交易在完成之前被标记,同时还要采取措施防止员工下载可能危害其网络并允许黑客访问交易所私钥的恶意软件。万一加密货币交易所真的受到黑客攻击,需要立即向执法部门报告,并提供关键信息:例如被盗资金转移到的地址等。除了保护自己免受黑客攻击之外,加密货币交易所还有责任确保不会被犯罪分子利用,“帮助”他们提取窃取的资金。我们建议,一旦加密货币交易所发现从混合器或CoinJoin钱包出现大笔存款,就需要立即提高警惕。尽管混合器有合法用途,但数据清楚地表明,越来越多的黑客开始使用这种工具来混淆之前盗窃的加密货币路径,并绕过监管来套现。在这种情况下,加密货币交易所其实可以停止其中一些套现交易,并通过中止来自混合器的可疑交易来帮助执法部门追回被窃资金。就目前而言,币安已经开始这么做了,因此这种模型其实可以成为其他加密货币交易所效防的案例。最后,我们认为强执法机构之间的跨境合作可以大大减少加密货币交易所被黑客入侵的风险。如果全球的金融情报部门可以在黑客实施攻击之后迅速共享从加密货币交易所获得的信息,那么就能立刻冻结被窃资金,黑客也就无法将其转移到混合器或是KYC合规要求较低的加密货币交易所了。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

区块博客

[0:15ms0-4:3ms