2024年上半年，盡管整體非法活動(dòng)有所下降，但加密貨幣犯罪中的兩類特定犯罪活動(dòng)——被盜資金和勒索軟件卻在上升。報(bào)告詳細(xì)分析了這些犯罪活動(dòng)的趨勢(shì)和背后的原因，并探討了加密貨幣生態(tài)系統(tǒng)中的一些積極發(fā)展。

關(guān)鍵發(fā)現(xiàn)

• 2024年至今，鏈上非法活動(dòng)總量下降了近20%，表明合法活動(dòng)增長(zhǎng)速度超過了非法活動(dòng)；
• 盡管與去年同期相比非法交易有所下降，但兩類非法活動(dòng)——被盜資金和勒索軟件卻在增加；
• 被盜資金流入量幾乎翻了一番，從8.57億美元增至15.8億美元，勒索軟件流入量增長(zhǎng)了約2%，從4.491億美元增至4.598億美元；
• 每次盜竊事件中被盜的加密貨幣平均金額增加了近80%，加密貨幣攻擊者似乎又回到了他們的目標(biāo)——中心化交易所，而不是優(yōu)先考慮DeFi協(xié)議。
• 高級(jí)網(wǎng)絡(luò)犯罪分子，包括與朝鮮有關(guān)的IT工作者，越來越多地利用鏈下方法，如社會(huì)工程學(xué)，通過滲透與加密相關(guān)的服務(wù)來竊取資金。

勒索軟件研究發(fā)現(xiàn)

2024年有望成為勒索軟件收入最高的一年，這在很大程度上歸功于執(zhí)行較少高調(diào)攻擊但收取大額支付的勒索軟件變種（行業(yè)稱為“大獵物狩獵”）。2024年記錄了有史以來最大的勒索軟件支付，大約7500萬美元支付給了Dark Angels勒索軟件組織。

針對(duì)最嚴(yán)重勒索軟件變種的中位數(shù)勒索支付從2023年初的近20萬美元飆升至2024年6月中旬的150萬美元，表明這些變種正在優(yōu)先針對(duì)可能因資金充足和系統(tǒng)重要性而更有可能支付高額贖金的大型企業(yè)和關(guān)鍵基礎(chǔ)設(shè)施提供商。

由于最近的執(zhí)法行動(dòng)破壞了最大的參與者，如ALPHV/BlackCat和LockBit，勒索軟件生態(tài)系統(tǒng)經(jīng)歷了一些分裂。在這些破壞之后，一些附屬機(jī)構(gòu)遷移到效果較差的變種或推出了自己的變種。

勒索軟件與加密貨幣

加密貨幣生態(tài)系統(tǒng)在2024年見證了一些積極的發(fā)展。在許多方面，加密貨幣繼續(xù)獲得主流接受，緊隨美國(guó)批準(zhǔn)現(xiàn)貨比特幣和以太坊交易型開放式指數(shù)基金(ETF)以及財(cái)務(wù)會(huì)計(jì)標(biāo)準(zhǔn)委員會(huì)(FASB)的公平會(huì)計(jì)規(guī)則的修訂之后。但隨著任何新技術(shù)的采用，合法和非法行為者都會(huì)增長(zhǎng)。盡管與前幾年相比，今年的非法活動(dòng)有所下降，但特定網(wǎng)絡(luò)犯罪相關(guān)實(shí)體的加密貨幣流入顯示出一些令人擔(dān)憂的趨勢(shì)。

如下圖所示，2024年流入合法服務(wù)的資金是自2021年上一次牛市高峰以來最高的，這是一個(gè)令人鼓舞的跡象，表明加密貨幣在全球范圍內(nèi)的持續(xù)采用。流入風(fēng)險(xiǎn)服務(wù)（主要由混合器和不收集KYC信息的交易所組成）的資金趨勢(shì)高于去年同期。與此同時(shí)，非法活動(dòng)的總體下降了19.6%，從209億美元降至167億美元，表明合法活動(dòng)的增長(zhǎng)速度超過了鏈上非法活動(dòng)。這些非法數(shù)字是基于研究機(jī)構(gòu)今天識(shí)別的非法地址流入量的下限估計(jì)。

Chainalysis開始將疑似非法活動(dòng)納入某些犯罪類型的總估計(jì)中，基于Chainalysis Signals數(shù)據(jù)。此前，估計(jì)只包括與Chainalysis有支持文件證明屬于某個(gè)非法實(shí)體的地址相關(guān)的總數(shù)。Signals利用鏈上數(shù)據(jù)和啟發(fā)式方法來識(shí)別特定未知地址或地址簇的疑似類別，置信度從可能到幾乎確定不等。Signals的引入不僅隨著時(shí)間的推移增加了我們對(duì)某些類別非法活動(dòng)的估計(jì)，而且還使我們能夠完善前幾年的估計(jì)。

盡管與去年同期相比非法交易總體下降，但被盜資金和勒索軟件這兩類非法活動(dòng)卻有所上升。通過7月底的年增長(zhǎng)來看，加密貨幣搶劫中被盜資金增加了近一倍，從8.57億美元增至15.8億美元。2023年6月底的勒索軟件流入總計(jì)為4.491億美元。今年同期，勒索軟件流入量已超過4.598億美元，這表明我們可能正面臨另一個(gè)勒索軟件創(chuàng)紀(jì)錄的年份。

攻擊者瞄準(zhǔn)中心化交易所

2023年相比2022年加密貨幣被盜價(jià)值下降50%，而2024年黑客活動(dòng)又出現(xiàn)了復(fù)蘇，從被盜金額和黑客事件的數(shù)量可以看出這一點(diǎn)。如下圖所示，截至7月底，今年累計(jì)被盜金額已超過15.8億美元，比去年同期增長(zhǎng)了84.4%。有趣的是，2024年的黑客事件數(shù)量?jī)H比2023年略有增加，同比增長(zhǎng)了2.76%。每次事件中被盜的平均金額增加了79.46%，從2023年1月至7月的每次事件590萬美元增加到2024年迄今為止的每次事件1060萬美元。

被盜金額的變化很大程度上歸因于資產(chǎn)價(jià)格的上漲。例如，比特幣的價(jià)格從2023年前七個(gè)月的平均價(jià)格26141美元上漲到今年7月的平均價(jià)格60091美元，漲幅達(dá)130%。

Chainalysis跟蹤的一個(gè)黑客指標(biāo)是黑客事件發(fā)生后被盜資金流動(dòng)的交易量。這可以作為被盜資產(chǎn)的一個(gè)代理，因?yàn)楹芏鄷r(shí)候被黑客攻擊的服務(wù)不會(huì)公開報(bào)告被盜的具體細(xì)節(jié)。2024年與被盜資金活動(dòng)相關(guān)的BTC交易量占這些流動(dòng)的40%。這種模式似乎是由被攻擊實(shí)體類型的變化所驅(qū)動(dòng)的，2024年中心化服務(wù)被黑客攻擊以獲取高額資金。特別是像DMM這樣的中心化交易所，其損失了3.05億美元。在DMM黑客事件中，大約19%的被盜金額在2024年被盜，據(jù)報(bào)道大約有4500 BTC被盜。

加密貨幣攻擊者似乎在四年專注于去中心化對(duì)手之后，再次回歸他們的老路，瞄準(zhǔn)中心化交易所，后者通常不交易比特幣。盡管對(duì)DeFi服務(wù)——特別是跨鏈橋接的攻擊在2022年達(dá)到頂峰，但攻擊者在中心化交易所增加安全投資后，將注意力轉(zhuǎn)向了更新、更脆弱的組織?，F(xiàn)在包括與朝鮮有關(guān)的攻擊者在內(nèi)的黑客，正在利用越來越復(fù)雜的社會(huì)工程學(xué)策略，例如申請(qǐng)IT工作，通過滲透中心化交易所來竊取加密貨幣。

2024年有望成為勒索軟件收入最高的一年

2023年勒索軟件支付金額創(chuàng)下新高，超過10億美元。這些巨額支付來自一些高調(diào)、破壞性的攻擊，如Cl0p對(duì)Move IT零日的利用以及ALPHV/BlackCat勒索軟件團(tuán)伙對(duì)凱撒酒店物業(yè)的利用，導(dǎo)致該公司支付了1500萬美元的贖金。盡管針對(duì)勒索軟件的惡意部署和組織基礎(chǔ)設(shè)施的主要執(zhí)法行動(dòng)，依舊出現(xiàn)了如此多的贖金支付，截至2023年6月底的累計(jì)勒索軟件支付總額約為4.491億美元。今年同期，我們記錄的勒索軟件支付總額為4.598億美元，這使2024年堅(jiān)定地走上了創(chuàng)紀(jì)錄的道路。

Kiva咨詢公司的總法律顧問Andrew Davis表示，盡管對(duì)LockBit和ALPHV/BlackCat的打擊持續(xù)加大，但總體勒索軟件活動(dòng)依舊相對(duì)穩(wěn)定?！盁o論是這些眾所周知的威脅行為者的前附屬機(jī)構(gòu)，還是新的初創(chuàng)企業(yè)，大量新的勒索軟件團(tuán)伙加入了這場(chǎng)混戰(zhàn)，展示了他們進(jìn)行攻擊的新方法和技巧，如擴(kuò)大初始訪問和橫向移動(dòng)的方法。”

如下圖所示，勒索軟件攻擊也變得越來越嚴(yán)重。我們觀察到的一個(gè)顯著變化是每年最大贖金支付的飆升。到目前為止，2024年出現(xiàn)了有史以來最大的單筆支付，約為7500萬美元，支付給了名為Dark Angels的勒索軟件團(tuán)伙。這種最大支付金額的增長(zhǎng)也代表了從2023年到今年的最大支付金額增長(zhǎng)了96%，從2022年的最大支付金額增長(zhǎng)了335%。

如果迅速增加的最大支付金額還不夠糟糕的話，這種每年的異常值趨勢(shì)實(shí)際上還伴隨著中位數(shù)支付的增長(zhǎng)趨勢(shì)。從2023年第一周的中位數(shù)支付金額198939美元增加到2024年6月中旬的中位數(shù)支付金額150萬美元。這代表了在此期間最嚴(yán)重株系支付的典型贖金規(guī)模的7.9倍增長(zhǎng)，自2021年初以來增長(zhǎng)了近1200倍。這種模式可能表明，這些勒索軟件組織開始瞄準(zhǔn)大型企業(yè)和關(guān)鍵基礎(chǔ)設(shè)施提供商，這些目標(biāo)可能因?yàn)槠湫酆竦馁Y金和系統(tǒng)重要性而更支付高額贖金。

勒索軟件的另一個(gè)趨勢(shì)是攻擊也變得更加頻繁，根據(jù)eCrime.ch的數(shù)據(jù)泄露網(wǎng)站統(tǒng)計(jì)，2024年到目前為止至少增加了10%的攻擊。作為勒索軟件事件的衡量標(biāo)準(zhǔn)，勒索軟件泄露網(wǎng)站的帖子同比增加了10%。然而鏈上測(cè)量的總勒索軟件支付事件同比下降了27.29%。將這兩個(gè)趨勢(shì)結(jié)合起來看，盡管今年迄今為止的攻擊可能有所增加，但支付率卻同比下降了。這對(duì)生態(tài)系統(tǒng)來說是一個(gè)積極的信號(hào)，表明受害者可能準(zhǔn)備得更好，不需要支付贖金。

Davis說：“Kivu參與協(xié)助受害組織的事務(wù)中，大約有65%在沒有支付贖金的情況下得到解決，顯示出受影響組織的韌性和沒有必要支付攻擊者的積極趨勢(shì)。”

盡管加密貨幣生態(tài)系統(tǒng)中的非法活動(dòng)繼續(xù)呈下降趨勢(shì)，但兩類加密貨幣犯罪似乎正在逆勢(shì)而上：被盜資金和勒索軟件。這兩種犯罪類型通常由具有某些共同特征的參與者實(shí)施。它們通常是利用先進(jìn)網(wǎng)絡(luò)基礎(chǔ)設(shè)施的有組織團(tuán)體。這些參與者以精心策劃的社會(huì)工程學(xué)策略而聞名，他們利用這些策略闖入加密業(yè)務(wù)，竊取加密貨幣資產(chǎn)，并利用專家級(jí)洗錢技術(shù)試圖在資金被查封前套現(xiàn)。

打擊網(wǎng)絡(luò)犯罪的關(guān)鍵是破壞其供應(yīng)鏈，包括攻擊者、附屬機(jī)構(gòu)、合作伙伴、基礎(chǔ)設(shè)施服務(wù)提供商、洗錢者和套現(xiàn)點(diǎn)。由于加密貨幣盜竊和勒索軟件的運(yùn)營(yíng)幾乎完全在區(qū)塊鏈上進(jìn)行，配備正確解決方案的執(zhí)法部門可以通過追蹤資金來更好地理解和破壞這些參與者的運(yùn)營(yíng)。

eCrime.ch的研究員Corsin Camichel指出，包括Operation Cronos、Operation Duck Hunt、Operation Endgame等打擊行動(dòng)和執(zhí)法行動(dòng)對(duì)于遏制這些活動(dòng)并表明犯罪行為將會(huì)有后果至關(guān)重要。

結(jié)論

盡管加密貨幣生態(tài)系統(tǒng)中的非法活動(dòng)總體呈下降趨勢(shì)，但被盜資金和勒索軟件這兩類加密貨幣犯罪似乎正在逆勢(shì)而上。這些犯罪類型通常由具有某些共同特征的行為者實(shí)施，他們通常是利用復(fù)雜的網(wǎng)絡(luò)基礎(chǔ)設(shè)施的有組織的團(tuán)體。在被盜資金的情況下，與朝鮮有關(guān)的黑客組織是一些最大搶劫案的幕后黑手。這些行為者以計(jì)算出的社會(huì)工程策略而聞名，他們闖入加密業(yè)務(wù)，竊取加密資產(chǎn)，并利用專業(yè)的洗錢技術(shù)，在資金被查封前嘗試變現(xiàn)。

報(bào)告還強(qiáng)調(diào)了通過跟蹤資金流向來破壞網(wǎng)絡(luò)犯罪供應(yīng)鏈的重要性，包括攻擊者、附屬機(jī)構(gòu)、合作伙伴、基礎(chǔ)設(shè)施服務(wù)提供商、洗錢者和提現(xiàn)點(diǎn)。由于加密貨幣搶劫和勒索軟件的操作幾乎完全在區(qū)塊鏈上進(jìn)行，執(zhí)法部門配備了正確的解決方案，可以追蹤資金流向，更好地理解和破壞這些行為者的操作。

https://www.chainalysis.com/blog/2024-crypto-crime-mid-year-update-part-1/