Chainalysis2020加密犯罪报告：交易所安全有所加强但黑客也更老练

所谓”道高一尺魔高一丈“，2019 年，加密货币交易所与黑客之间的较量愈演愈烈，虽然黑客实施的攻击数量越来越多，但相比于 2018 年，他们似乎并没有从交易所那里窃走太多资金。

上图是量化的 2019 年受攻击的加密货币交易所统计，每个条状栏上的不同颜色代表了当年各个独立黑客盗窃的加密货币量，涉及的加密货币包括：比特币（BTC）、比特币现金（BCH）、以太坊（ETH）、莱特币（LTC）、瑞波币（XRP）、ADA、EOS、NANO、NEM、USDT 等。

从上图数据来看，2019 年发生的加密货币黑客攻击数量超过了过去的任何一年。但是在去年发生的 11 次攻击事件中，并没有“太多”资金被盗——这意味着，尽管攻击次数增加，但从加密货币交易所中被窃的加密货币总价值“只有”2.83 亿美元，要知道 2014 年“头门沟”（Mt.Gox）的攻击就损失了 4.73 亿美元，而 2018 年 Coinchek 在黑客攻击中的损失更是高达 5.34 亿美元。

鉴于媒体和其他消息源可能报道不同的数字，因此让我们先解释一下是如何得出 2019 年加密货币交易所攻击数据的：

1、我们统计的范围包括：1）涉及利用技术漏洞的黑客攻击；2）通过社会工程或其他形式欺诈手段实施的攻击。（星球君 o-daily 在此提供一些有关术语的注释：虽然所有黑客都是攻击，但并非所有攻击都是黑客。黑客专门指的是利用软件技术漏洞实施攻击的不良行为者，而攻击范围其实也包括其他非技术性行为，例如网络钓鱼攻击、诱骗受害者下载恶意软件等。）

2、我们统计的攻击仅包含允许不良行为者访问属于加密货币交易所资金，不包括支付处理商、钱包服务提供商、投资平台、或是针对其他类型服务访问的攻击。

3、我们没有统计交易所退出欺诈或用户利用交易所错误的情况，比如 Synthetix 用户利用交易中的价格差异”漏洞“净赚了 10 亿美元。

4、我们仅包含了通过多个数据源衡量并公开确认被盗金额的攻击，这意味着其中不会包含加密货币交易所用户数据遭到破坏、但没有加密货币被盗的事件。此外，我们还排除了那些私下向我们举报的黑客攻击事件，这些事件应该不会对本文分析的数据产生较大影响。

在上述这些框架之下，我们还剔除了那些针对较小金额数量的加密货币黑客攻击，虽然这么做可能会使交易所黑客攻击的损失金额估算降到一个较低的界限，但其实并不会对统计产生太大影响。

量化 2019 年交易所攻击

上图表量化了 2019 年交易所遭受攻击的情况，涉及的加密货币包括比特币（BTC）、比特币现金（BCH）、以太坊（ETH）、莱特币（LTC）、瑞波币（XRP）、ADA、EOS、NANO、NEM、USDT 等。

在 Coinbene 遭受超过 1.05 亿美元被窃之后，我们没有发现规模更大的黑客攻击事件了，虽然过去三年时间里每年黑客攻击数量都有所增长，但是在 2019 年黑客攻击的平均金额和中位数金额等指标均出现大幅下降。与 2018 年的黑客攻击相比，我们在2019年观察到的黑客攻击中，只有 54％ 的被窃金额超过了 1000 万美元。尽管个体黑客数量有所增加值得我们关注，但根据数据表明，加密货币交易所在维护资金不受黑客攻击影响方面已经取得了较好的进步。

黑客攻击之后，资金都流向了哪里？

使用区块链分析，我们可以追踪黑客窃取的资金流向，并了解他们会如何清算这些非法获取的资金。下面，我们将按照年度细分来看看加密货币交易所被盗资金都流到了哪些最常见的目的地。

实际上，遭受黑客攻击的加密货币交易所大部分被窃资金最终都被发送到了其他加密货币交易所，然后在那里被转化为法定货币。但是仍有很大一部分被窃资金没有任何“动静”，有时黑客会等待数年时间才会偷偷转账。不过在这种情况下，执法部门仍有机会没收被盗资金，我们会在后文中做进一步探索。有一小部分被盗资金会通过第三方混合器（Mixer）或 CoinJoin 钱包进行转移，以掩盖其非法来源，但是这部分资金在 2019 年已经有所增加。需要说明的是，上表中所有混合资金都是根据混合发生之后被发送至的最终目的地进行分类的。

针对加密货币交易所升级的安全措施，黑客又有什么“新招”应对呢？

为了更好地保护客户资金免遭黑客攻击，加密货币交易所已经取得了长足的金不，通过因为黑客攻击的损失金额急剧减少就可以看出，交易所的努力已经取得了一定程度的成功。现在，许多加密货币交易所只会把很小比例的资金保存在安全性较低的热钱包里，仅仅为了满足客户的提款授权。此外，越来越多加密货币交易所已经开始更密切地监视交易以便甄选出可疑活动，并较早发现潜在黑客行为。通过调查 2019 年加密货币交易所黑客攻击情况，我们还发现如今在面对黑客攻击的时候，不少加密货币交易所会选择主动出击，而不是像过去那样“被动挨打”，而且他们也更愿意与其他加密货币社区共享详细信息，使追查被盗资金变得更加容易。

与此同时，不管是实施黑客攻击，还是后续的洗钱，黑客也在变得越来越老练。虽然这种情况不是什么好兆头，但从另一个角度来看，也表明此前加密货币交易所采取的保护措施收到了一定成效，也正是因为如此，才会迫使黑客研究、采取新的攻击手段。正如我们将向您展示的，加密货币交易所和执法机构其实可以采取一些具体措施来应对黑客的新型攻击策略。

在此，就让星球君（微信：o-daily）和大家分析一个知名网络犯罪组织 Lazarus Group 的黑客活动，然后看看如今的黑客采用了哪些新型攻击策略吧。

Lazarus Group 在 2019 年的攻击手段变得越来越“先进”了

Lazarus Group 是一个臭名昭著的网络犯罪集团，也被网络安全专家视为威胁级别最高的黑客组织，人们普遍认为 2014 年 Sony Pictures 被攻击、以及 2017 年WannaCry 勒索软件攻击和许多其他加密货币交易所攻击都与 Lazarus Group 有关。在 Chainalysis 于 2019 年发布的《加密犯罪报告》（Crypto Crime Report）里，研究人员分析了 Lazarus Group 针对加密货币交易所的黑客活动，并将其冠以“Beta Group”的非法组织称号。

为了经对加密货币交易所的安全措施，2019 年，Lazarus Group 对其黑客和洗钱策略实施了三大重要更新：

1、更复杂的网络钓鱼策略。Lazarus Group 过去一直依靠社会工程学来攻击加密货币交易所，他们通常会诱使交易所员工下载恶意软件，从而使其可以控制、使用用户的资金。但是在去年的一次加密货币交易所攻击中，Lazarus Group 使用了设计更为“精妙”的策略，并执行了一个设计无比精心的网络钓鱼方案，我们已经发现这种方案的确奏效，而且很容易就控制并窃取用户的资金。

2、越来越多地使用混合器和 CoinJoin 钱包。2019 年，越来越多黑客通过使用混合器发送从加密货币交易所窃取的资金。更具体地说，对于 Lazarus Group 这家黑客组织而言，他们使用了 CoinJoin 钱包。混合器通过汇集多个用户的加密货币来混淆资金流向，并从每个用户池中返还其最初投入相等的金额（一般会扣除1-3％的服务费）。每个人的资金都会于其他人投入的资金“混合”起来，这使得追踪某个特定用户的资金输入和输出关系变得更加困难。许多犯罪分子使用混合器隐藏非法加密货币的来源，然后再将其转移到其他服务里。以底层CoinJoin协议命名的CoinJoin钱包——比如Wasabi Wallet，该服务允许多个用户将其付款不信任地加入到具有多个收件人的单个交易中。

3、非法资金的清算速度更快了。相比于 2018 年，我们还发现像 Lazarus Group 这样的黑客转移清算盗窃加密货币交易所资金的速度更快了。这种趋势表明，黑客在 2019 年的洗钱能力有所提升，而且在处理被窃资金的时候优先考虑的就是速度。

接下来，让我们来看看Lazarus Group 是如何会运用这些新策略的。

策略一：Lazarus Group 如何利用虚假公司诱骗网络钓鱼

2019 年 3 月，黑客入侵了新加坡加密货币交易所 DragonEx，窃走了价值大约 700 万美元的加密货币，包括比特币、瑞波币（Ripple）和莱特币（Litecoin）。DragonEx 迅速做出反应，在各种社交媒体平台上宣布遭到黑客攻击，并发布了其资金已转移到的 20 个钱包地址列表。这样一来，其他加密货币交易所就可以标记这些钱包地址并冻结与它们相关的帐户，从而使攻击者更难转移资金。不仅如此，DragonEx 还迅速联系了 Chainalysis，并与法律机构一起寻求帮助。

尽管 DragonEx 黑客攻击的规模相对较小，但值得注意的是，Lazarus Group 是以一种复杂的网络钓鱼攻击方式渗透进了该加密货币交易所的系统，他们创建了一家虚假公司，声称可以提供一个名为“Worldbit-bot”的自动化加密货币交易机器人，而且配备了可满足员工需求的华丽网站页面和社交媒体账户。

Lazarus Group 甚至开发出了一个销售交易机器人的软件产品——当然，他们在软件中嵌入了恶意软件，从而使黑客可以访问下载该程序用户的计算机。Lazarus Group 的黑客们向 DragonEx 员工提供了该软件的免费试用版，并说服该交易所里的人将其下载到包含钱包专用密钥的计算机上，最终黑客成功窃取了密钥并盗走了价值数百万美元的加密货币。

大多数网络钓鱼只会依赖电子邮件或小型网站，但 Lazarus Group 设计“Worldbit-bot”加密货币自动化交易机器人官网（如上图所示）显然专业度更高，这也从侧面显示出他们可支配的时间和资源丰富，而且对交易参与者如何访问加密货币生态系统有非常深入的了解。

策略二：混合器使用率开始提高，兑现非法资金速度加快，凸显 Lazarus Group 洗钱策略变化

在去年发布的《加密犯罪报告》中，Chainalysis 分析了 2018 年加密货币交易所黑客洗钱的操作手法，但是现在 Lazarus Group 并没有像其他知名黑客组织那样使用混合器等复杂的洗钱技术来快速“清算”和取出被盗的加密货币。相反，他们反而会把被盗资金存放在钱包里一段时间，比如 12-18 个月，然后当风平浪静之后再偷偷把被盗资金转移到 KYC（了解你的客户）合规要求较低的加密货币交易所。

我们得出的结论是：Lazarus Group 这种做法主要处于财务上的考量，尽管其他知名黑客组织似乎还是倾向于通过混淆交易目标以避免被发现，但 Lazarus Group 的行为表明他们更愿意将被盗的加密货币转化为现金，即便这种做法需要等待更长时间，还需要通过加密货币交易所且容易追踪。按照美国政府报告的说法，朝鲜利用来自加密货币交易所黑客和其他金融犯罪的资金为其大规模杀伤性武器（WMD）和弹道导弹计划提供了支持，而这其实也是 Lazarus Group 开展攻击的目标。

虽然我们不知道 Lazarus Group 在 2019 年的攻击动机是否发生了变化，但可以确定的是，他们在转移和套现从加密货币交易所盗窃资金的手段已经发生了变化，其中最显著的就是他们转移到混合器里的资金比例已经越来越高了。

上图：2017-2019 年被 Lazarus Group 窃取的加密货币交易所资金（比特币）目的地

2018 年，在所有 Lazarus Group 从加密货币交易所窃取的资金中，有 98% 最终被转移到了加密货币交易所，而没有一个流入到混合器或 CoinJoin 钱包里，但这些交易所有一个共同点，那就是：对 KYC 的合规要求都非常低。但是在 2019 年，Lazarus Group 所有从加密货币交易所窃取的资金中有 48% 转移到了 CoinJoin 钱包，50% 的资金依然存放在黑客的原始钱包里，没有任何动作。

我们可以使用 Chainalysis Reactor 来查看此数据，以比较Lazarus Group 自 2018 年以来和自 2019 年以来的相关的非法加密货币交易活动。

Chainalysis Reactor：2018 年 Lazarus Group 攻击加密货币交易所获得资金的转移行为

从上图中，我们可以看到 Lazarus Group 在 2018 年的一次加密货币交易所黑客攻击之后是如何转移被盗资金的。由于交易数量众多，上图可能会看起来非常复杂，但只要理清思路其实理解起来并不困难。上图的最左侧是受到攻击的加密货币交易所钱包地址，资金就是从这个地址离开的，之后资金经过了两个中间钱包，然后分散到了右侧的四个不同的加密货币交易所，而两者之间的众多跳跃点代表了资金只是从一个钱包转移到一个交易所，并没有任何支付变化——尽管资金路径看上去很长，但追踪起来其实并不困难。

Chainalysis Reactor：2019 年 Lazarus Group 攻击加密货币交易所获得资金的转移行为

上图 Chainalysis Reactor 分析展示了 Lazarus Group 如何在 2019 年 DragonEx 加密货币交易所遭受攻击之后黑客是如何转移资金的。在这种情况下，以太坊和莱特币等被盗的山寨币被转移到了加密货币交易所，之后又被兑换成了比特币。接下来，黑客又从加密货币交易所的各种本地钱包里把比特币取出进行洗钱，最终将其转移到最右边的 Wasabi Wallet，并通过 CoinJoin 协议混合被窃资金。

上图：四个攻击对比，黑客如何在攻击加密货币交易所之后“清算”被窃资金（比特币）的

据悉，Lazarus Group 还将盗窃的资金转移到了可以清算的服务中（主要是交易所），而且他们在 2019 年的转移速度显然快了很多。在 2018 年，Lazarus Group 平均花费长达 500 天的时间才将盗窃资金从最初的私人钱包转移到清算服务中，而在 2019 年，他们只花费了 250 天时间。我们发现，黑客的转移资金速度在 2019 年发生了巨大变化，尤其是有两次攻击，Lazarus Group 只用了 60 天时间将把所有被盗资金转移到了清算服务里（尽管其中有一些资金仍未使用），而且其他黑客组织群体也开始遵循这一趋势。

Lazarus Group 的黑客攻击手段越来越复杂，洗钱的速度也变得越来越快，这给情报机构和加密货币交易所带来的压力也与日俱增，更要求他们在遭受网络犯罪攻击的时候不得不更快速地采取行动。

加密货币交易所依然需要优先考虑安全性

在过去的几年中，为了对抗黑客攻击，许多加密货币交易所都提高了安全性门槛，但同时我们也发现，像 Lazarus Group 这样的黑客也在不断改变攻击策略，这使得交易所不得不进一步提升安全维护成本——他们需要时刻保持警惕，并继续以他们已经取得的成绩为基础，始终保持能比黑客领先一步。我们建议加密货币交易所可以设置防护栏，以确保可疑交易在完成之前被标记，同时还要采取措施防止员工下载可能危害其网络并允许黑客访问交易所私钥的恶意软件。万一加密货币交易所真的受到黑客攻击，需要立即向执法部门报告，并提供关键信息：例如被盗资金转移到的地址等。

除了保护自己免受黑客攻击之外，加密货币交易所还有责任确保不会被犯罪分子利用，“帮助”他们提取窃取的资金。我们（Chainalysis）建议，一旦加密货币交易所发现从混合器或 CoinJoin 钱包出现大笔存款（或是短时间内出现大量小额存款），就需要立即提高警惕。尽管混合器有合法用途，但数据清楚地表明，越来越多的黑客开始使用这种共居来混淆之前盗窃的加密货币路径，并绕过监管来套现。在这种情况下，加密货币交易所其实可以停止其中一些套现交易，并通过中止来自混合器的可疑交易来帮助执法部门追回被窃资金。就目前而言，币安已经开始这么做了，因此这种模型其实可以成为其他加密货币交易所效防的案例。

最后，我们认为强执法机构之间的跨境合作可以大大减少加密货币交易所被黑客入侵的风险。如果全球的金融情报部门（FIU）可以在黑客实施攻击之后迅速共享从加密货币交易所获得的信息，那么就能立刻冻结被窃资金，黑客也就无法将其转移到混合器或是 KYC 合规要求较低的加密货币交易所了。

—-

编译者/作者：Odaily星球日报

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。