近年來,北韓駭客頻頻出現在網路安全事件的中心,尤其是在加密貨幣領域。

作者:慢霧 AML 團隊,慢霧安全團隊

近年來,北韓駭客頻頻出現在網路安全事件的中心,尤其是在加密貨幣領域。 2024 年,北韓駭客透過複雜的攻擊手段和洗錢技術,涉嫌竊取了價值數億美元的加密資產,為區塊鏈產業和全球反洗錢工作帶來了巨大挑戰。本篇文章將探討北韓駭客的攻擊和洗錢手法,以及混幣工具的使用情況。

北韓駭客

以下是北韓駭客組織犯下的重要事件清單(資料來源 SlowMist Hacked):

攻擊手法

除了技術漏洞之外,許多攻擊還透過社會工程學來獲取初始存取權限或繞過安全措施。例如,DMM Bitcoin 和 Radiant 漏洞涉及駭客在部署惡意軟體之前透過冒充和網路釣魚與目標建立信任。

  • 疑似北韓駭客透過 Telegram 攻擊區塊鏈社群:一種常見的方法是針對區塊鏈和天使投資社群的網路釣魚活動。駭客在 Telegram 上冒充知名投資公司的代表。他們主動發起對話並獲得受害者的信任,使用 Calendly 等平台安排虛假會議,並以解決技術問題或共享敏感資料的幌子說服受害者下載惡意 App。
  • 北韓 IT 工作者的威脅:北韓網路行動的另一個面向是將 IT 工作者部署到合法角色。根據 Google 威脅情報小組稱,北韓特工以虛假藉口滲透到 IT、區塊鏈和自由職業平台。這些特工使用偽造的憑證和投資來獲得職位,從而破壞敏感系統或發動更廣泛的攻擊。
  • BeaRAT 惡意軟體的新變種:研究人員發現了 BeaverTail 惡意軟體的新變種,該變​​種歸因於與北韓有關的駭客,它透過偽裝成合法的基於瀏覽器的視訊通話應用程式來攻擊 macOS 用戶。這種複雜的惡意軟體旨在從受感染的機器中竊取敏感訊息,包括加密貨幣錢包資料和鑰匙圈檔案。

洗錢手法

雖然各種區塊鏈網絡上的漏洞利用有所增加,但 Ethereum、Bitcoin 和 TRON 仍然是被用於洗錢的主要網絡,因為它們流動性高,生態系統支援廣泛。此小節以慢霧 (SlowMist) 跟進的 BingX 事件為例,出於隱私原因,本調查重點介紹基礎知識,不深入研究進階策略。我們來看下 BingX 事件中駭客轉移被盜資金的路徑:

被盜資金被轉移到駭客控制的錢包後,從山寨幣轉換為 ETH。

隨後,ETH 被分散轉移到多個位址,並存入 Tornado Cash、Thorchain 和 deBridge 等平台。

駭客從比特幣網路提取被盜資金後,將它們分散轉移到多個地址,然後再次合併,並以 USDT 的形式跨鏈回以太坊網路。

最後,資金以 USDT 的形式透過 deBridge 跨鏈到 Solana 網絡,隨後駭客將其兌換為 USDC,然後存入 deBridge 並從 Solana 網路中提取。

值得注意的是,從 Solana 提款並不是追蹤分析的結束。這個混淆資金路徑的過程又重複了幾次,最終資金被存入交易所或轉移到 TRON 網路上的場外交易 (OTC) 市場。

駭客透過跨多個區塊鏈網路轉移資金,其目的是測試各大交易所的反洗錢 (AML) 系統,雖然大多數交易所都執行了解您的交易 (KYT),但自動化系統能力有限,複雜的洗錢模式涉及多層和跨鏈轉移,通常需要人工幹預才能有效提醒交易所。特別是混幣器的使用,進一步增加了追蹤資金的難度。駭客洗錢過程中使用的層級和網路越多,就會導致追蹤和阻止被盜資產被清洗越困難。在這種情況下,需要更先進的工具和更專業的知識,才能對抗這些愈來複雜的洗錢技術。

雖然場外交易市場似乎是交易加密貨幣的便利選擇,但它們也伴隨著巨大的風險。大多數場外交易市場並沒有徹底審查被盜資金,導致參與這些市場的用戶可能會發現自己無意中擁有非法資產。在這種情況下,資金通常會被凍結或扣押,用戶成為受害者。

混幣工具

Tornado Cash

(https://dune.com/misttrack/2024)

2024 年,用戶共存入 500,245 ETH(約 15.06 億美元)到 Tornado Cash,年增 47%;共從 Tornado Cash 提款 480,328 ETH(約 14.55 億美元),年增 53%。

eXch

(https://dune.com/misttrack/2024)

2024 年,用戶共存入 214,918 ETH(約 6.33 億美元)到 eXch,年增 355%;共存入 173,106,107 ERC20 到 eXch,較去年同期成長 579%。 

2024 年,eXch 活動的增加主要是由於包括北韓附屬實體在內的惡意行為者越來越多地使用它。與通常可以拆分用於大額交易的 Tornado Cash 不同,eXch 以不配合執法部門而聞名。 eXch 提供了更高的匿名性和更低的資產追回風險,這些因素使 eXch 成為惡意行為者的首選平台,推動了 ETH 和 ERC20 代幣存款的大幅成長。

Railgun

(https://x.com/RAILGUN_Project/status/1862141642989539397)

Railgun 已實施私人無罪證明 (PPOI),利用零知識證明確保用戶能夠在不損害隱私的情況下驗證其資金與非法活動無關。這項創新在隱私和合規性之間取得了關鍵的平衡,使惡意行為者更難利用該平台洗錢。

總結

2024  年,Tornado Cash 和 eXch 等混币工具的使用增长显著,体现了黑客不断创新洗钱方法的趋势。朝鲜黑客通过高度组织化的网络犯罪活动、复杂的技术攻击手段以及跨链洗钱策略,持续对全球网络安全生态构成严峻威胁。面对这一局势,行业需要进一步提升反洗钱系统的技术能力;完善对混币工具及相关平台的监管框架;推动国际间的协作与信息共享,共同打击网络犯罪。同时,无论是个人用户还是机构,都需要提高安全意识,采取积极的防护措施,以应对复杂的网络安全威胁。只有全行业共同努力、主动防御,才能在这场攻防较量中占据上风,确保区块链生态的健康发展。

報告的連結如下,也可直接點擊閱讀原文跳轉,歡迎閱讀並分享

中文:https://www.slowmist.com/report/2024-Blockchain-Security-and-AML-Annual-Report(CN).pdf

英文:https://www.slowmist.com/report/2024-Blockchain-Security-and-AML-Annual-Report(EN).pdf

免責聲明:作為區塊鏈資訊平台,本站所發布文章僅代表作者及來賓個人觀點,與 Web3Caff 立場無關。文章內的資訊僅供參考,均不構成任何投資建議及要約,並請您遵守所在國家或地區的相關法律法規。

欢迎加入 Web3Caff 官方社群X(Twitter)账号微信读者群微信公众号Telegram订阅群Telegram交流群