https://www.chainalysis.com/blog/2024-crypto-crime-mid-year-update-part-1, translated by getliner.

2024年8月15日 | 作者：Chainalysis團隊

關鍵發現

• 自年初以來，鏈上總體非法活動減少了近20%，表明合法活動增長速度快於非法活動。

• 盡管與去年同期相比，非法交易有所下降，但有兩個類別的非法活動——被盜資金和勒索軟件——卻在上升。具體而言，被盜資金的流入幾乎翻了一番，從8.57億美元增至15.8億美元，而勒索軟件的流入略增約2%，從4.491億美元增至4.598億美元。

被盜資金

• 每次盜竊中被盜的加密貨幣平均金額增加了近80%。部分原因是比特幣（BTC）價格上漲，這占這些盜竊相關交易總量的40%。加密盜賊似乎也開始重回老路，更頻繁地針對中心化交易所，而不是優先考慮不太受歡迎的DeFi協議進行比特幣交易。

• 包括與朝鮮相關的IT工作人員在內的高級網絡犯罪分子，正越來越多地利用鏈外方法，如社交工程，通過滲透加密相關服務來盜取資金。

勒索軟件

• 2024年將是勒索軟件支付的最高收益年，這在很大程度上歸因於某些黑客實施的高調攻擊減少，但收取的高額支付（業內稱為“大型遊戲狩獵”）卻不少。2024年已經出現了最大勒索軟件支付，約為7500萬美元，支付給了“黑暗天使”勒索軟件組。最嚴重的勒索軟件威脅，支付的中位數贖金已從2023年初的略低於20萬美元，飆升至2024年6月中旬的150萬美元，這表明這些威脅力度較大的黑客更傾向於針對具有更深口袋和係統重要性的較大企業和關鍵基礎設施提供商。

• 由於最近執法部門對最大參與者（如ALPHV/黑貓和LockBit）的幹擾，勒索軟件生態係統經曆了一定的碎片化。在這些幹擾之後，一些合作夥伴遷移到效果較差的攻擊手段或啟動了自己的攻擊手段。

2024年對加密貨幣生態係統來說出現了一些積極的發展。在許多方麵，加密貨幣繼續獲得主流接受，特別是在美國批準現貨比特幣和以太坊交易所交易基金（ETF）以及對財政會計準則委員會（FASB）公平會計規則進行修訂之後。但和任何新技術一樣，合規和不合規行為的參與者都會逐漸增加。盡管與往年相比，今年非法活動有所減少，但流入特定與網絡犯罪相關的實體的資金顯示出一些令人擔憂的趨勢。

• 如下圖所示，迄今為止，今年流入合法服務的資金已達到自2021年上一個牛市高峰以來的最高水平。這一鼓舞人心的跡象表明，加密貨幣在全球的繼續普及。流入高風險服務（主要由不收集KYC信息的混合器和交易所組成）的資金趨勢高於去年同期。與此同時，總體非法活動同比減少了19.6%，從209億美元降至167億美元，表明合法活動在鏈上增長速度快於非法活動。正如我們一貫警告的那樣，這些非法數字是基於我們今天識別的非法地址流入的下限估算。隨著時間的推移，這些總數幾乎肯定會更高，因為我們會歸因於更多的非法地址並將其曆史活動納入我們的數據。

此外，今年的另一項重要更新是，我們開始將某些犯罪類型的可疑非法活動納入我們的總估算，基於Chainalysis Signals數據。此前，我們的估算僅包括與Chainalysis有支持文檔證明其屬於某個非法實體的地址掛鉤的總額。Signals利用鏈上數據和啟發式方法識別特定未知地址或地址群的可疑類型，置信水平從可能到幾乎確定。Signals的引入不僅隨著時間的推移增加了某些類別非法活動的估算，還使我們能夠在更長時間內完善前幾年的估算，以便有更多時間收集輸入並理解可疑活動的鏈上模式。隨著惡意行為者不斷演變其戰術，我們的檢測和幹擾方法也將隨之改進。

盡管與去年同期相比，非法交易總體趨勢下降，但兩種顯著的非法活動類型——被盜資金和勒索軟件——卻在上升。從年初至今，被盜的資金同比增長，至7月底幾乎翻了一番，從8.57億美元增至15.8億美元。在去年的年中更新中，2023年6月的勒索軟件流入總計為4.491億美元。而今年，在同一時期，勒索軟件的流入已超過4.598億美元，這表明我們可能會迎來勒索軟件的另一個創紀錄年份。

被盜資金激增，攻擊者重回老路，鎖定中心化交易所

經過與2022年相比2023年加密貨幣盜竊價值下跌50%後，今年黑客活動又回歸活躍。對被盜金額和黑客事件數量的同比比較非常顯著。如下麵的圖表所示，今年截至7月底被盜的累計價值已超過15.8億美元，約比去年同期的被盜價值高出84.4%。有趣的是，2024年的黑客事件數量僅比2023年的數量略有增加，同比增長僅為2.76%。每次事件的被盜資產平均價值增長了79.46%，從2023年1月至7月的每次事件590萬美元增加到2024年至今的每次事件1060萬美元，這是基於盜竊時資產的價值。

被盜資產價值變化很大程度上歸因於資產價格上漲。例如，比特幣在2023年前七個月的平均價格為26141美元，而今年截至7月的平均價格為60091美元，增長了130%。

比特幣的價格在此尤為重要。Chainalysis跟蹤的一項黑客措施是與被盜資金流動相關的交易量。這可以作為被盜資產的代理，因為許多被黑服務並未公開報告被盜資產的分解。去年，30%的交易量與比特幣相關。今年，與被盜資金活動相關的比特幣交易量占這些流動的40%。這一模式似乎是由於受害實體類型的變化，2024年中心化服務以較高的價值被黑。尤其是對於中心化交易所，如DMM，其損失達到了3.05億美元。在DMM的黑客事件中，報道稱約4500個比特幣被盜。

加密盜賊似乎重回老路，重新針對中心化交易所，在過去四年中關注的去中心化交易所通常不交易比特幣。

盡管2022年對DeFi服務——尤其是跨鏈橋的攻擊達到了峰值，我們推測攻擊者在中心化交易所加大安全投資後，或許轉向了更新的、更脆弱的組織。如今，與朝鮮相關的攻擊者利用越來越複雜的社會工程戰術——包括申請IT工作——通過滲透他們曆史上的主要目標之一——中心化交易所，來竊取加密貨幣。聯合國最近報告稱，西方科技公司雇用的朝鮮工作人員超過4000人。

2024年的勒索軟件年將是最高收入的一年

2023年，勒索軟件支付創下了超過10億美元的記錄。這些巨額支付來自於一些高調且具有破壞性的攻擊，如MoveIT零日的Cl0p漏洞和ALPHV/黑貓勒索軟件集團針對凱撒酒店資產的攻擊，迫使該公司支付1500萬美元的贖金。這些支付也是在針對勒索軟件部署者惡意軟件和組織基礎設施的主要執法行動中發生的。在去年此時，我們報告稱截至2023年6月底，累計勒索軟件支付約為4.491億美元。今年在同一時期，我們記錄的贖金支付總額逾4.598億美元，使2024年的紀錄年成為定局。

Kiva Consulting的首席法律顧問Andrew Davis表示，盡管LockBit和ALPHV/黑貓遇到 disruptions，勒索軟件活動仍然保持相對穩定。“無論是這些知名威脅行為者的前合作者，還是新的初創團隊，許多新的勒索軟件團夥已經加入，展示出新的方法和技術進行攻擊，比如擴展初始訪問和橫向移動的方法。”

如下麵的圖表所示，勒索軟件攻擊的情況也明顯惡化。其中一個顯著的變化是，我們觀察到的某一年內最高贖金支付大幅上升。到目前為止，2024年，我們記錄的最大單筆贖金支付約為7500萬美元，支付給了一個名為“黑暗天使”的勒索軟件組。此最高支付金額的增長還代表了2023年同比增長96%以及較2022年最高支付金額335%的增加。

如果迅速增長的最高支付金額還不足以構成惡化的跡象，那麽每年的極端值的這一趨勢實際上與中位數支付金額的增長趨勢形成了雙重打擊。這一趨勢在最具破壞性的勒索軟件事件中尤為明顯。為了更清楚地了解這一趨勢，我們根據其鏈上活動水平將所有攻擊手段分類如下：

• 非常高嚴重性攻擊: 一年內收到的最高支付超過100萬美元
• 高嚴重性攻擊: 一年內收到的最高支付在10萬美元至100萬美元之間
• 中等嚴重性攻擊: 一年內收到的最高支付在1萬美元至10萬美元之間
• 中低嚴重性攻擊: 一年內收到的最高支付在1000美元至1萬美元之間
• 低嚴重性攻擊: 一年內收到的最高支付少於1000美元

利用這一分類係統，我們可以跟蹤各嚴重性中位支付金額的驚人增長。上升趨勢在“非常高嚴重性”攻擊中尤其顯著，從2023年第一周的中位支付金額198,939美元增加到2024年6月中旬的150萬美元。這代表了這一期間內最嚴重攻擊類型贖金支付的典型金額增長了7.9倍，較2021年初增長了近1200倍。這一模式可能表明，這些攻擊者更傾向於針對那些可能由於其深厚資金和係統重要性而更願意支付龐大贖金的較大企業和關鍵基礎設施提供商。

然而，最高嚴重性攻擊的YTD總額仍未達到2023年的水平，下降了50.8%。這一點在下圖中可以看到。這可能與執法活動對ALPHV/黑貓和LockBit等最大參與者的幹擾有關，這一情況在一段時間內停止了勒索軟件運營。在這些幹擾之後，生態係統變得更加碎片化，合作夥伴遷移到效果較差的攻擊方式或啟動了自己的攻擊。因此，高嚴重性攻擊在YTD活動上增長了104.8%。

勒索軟件的另一個趨勢是，攻擊頻率也在升級，至今為止，今年的攻擊數量至少增加了10%，根據eCrime.ch的數據泄露網站統計。值得注意的是，盡管在贖金支付總額和最大贖金數量上看似創造了紀錄，攻擊形勢也在惡化，但也許還有一絲好消息。在這些逆風中，受害者支付贖金的頻率仍在下降。根據eCrime.ch的數據，勒索軟件泄露網站的帖子作為勒索軟件事件的衡量標準，YoY增長了10%，如果更多受害者被攻擊，我們就會期待看到這一趨勢。然而，按照鏈上測量的總勒索支付事件同比下降了27.29%。通過這兩種趨勢的並行解讀顯示，盡管今年迄今為止攻擊數量上漲，但支付率同比下降。這是對生態係統發出的積極信號，表明受害者也許逐漸做好了準備，不再需要付款。

Davis表示：“Kivu參與協助受害組織的約65%的案件已經解決，而沒有支付贖金，繼續展示出受影響機構的韌性和對支付攻擊者的必要性減輕。”

盡管加密生態係統中的非法活動持續下降，兩種類別的加密犯罪卻呈現出逆勢而行的趨勢：被盜資金和勒索軟件。顯著的是，這兩種犯罪類型通常由具備某些特征的行為者所犯。這些行為者通常是組織嚴密的團體，利用複雜的網絡基礎設施。在被盜資金的情況下，與朝鮮相關的黑客組織則是某些最大盜竊事件的幕後黑手。這些行為者以其有計劃的社交工程戰術而著稱，突破加密業務，盜取加密資產，並利用專業的洗錢技術試圖在資金被扣押之前兌現。

打擊網絡犯罪的關鍵在於破壞其供應鏈，包括攻擊者、合作者、合作夥伴、基礎設施服務提供者、洗錢者和現金提現點。由於加密盜竊和勒索軟件的操作幾乎完全在區塊鏈上，執法部門憑借正確的解決方案可以追蹤資金，以更好地了解和幹擾這些行為者的操作。eCrime.ch的研究人員Corsin Camichel表示：“我認為，像行動計劃Cronos、Duck Hunt和Endgame等打擊行動對於遏製這些活動並傳達犯罪行為將麵臨後果至關重要。”