2024年上半年，盡管整體非法活動有所下降，但加密貨幣犯罪中的兩類特定犯罪活動——被盜資金和勒索軟件卻在上升。報告詳細分析了這些犯罪活動的趨勢和背后的原因，并探討了加密貨幣生態系統中的一些積極發展。

關鍵發現

• 2024年至今，鏈上非法活動總量下降了近20%，表明合法活動增長速度超過了非法活動；
• 盡管與去年同期相比非法交易有所下降，但兩類非法活動——被盜資金和勒索軟件卻在增加；
• 被盜資金流入量幾乎翻了一番，從8.57億美元增至15.8億美元，勒索軟件流入量增長了約2%，從4.491億美元增至4.598億美元；
• 每次盜竊事件中被盜的加密貨幣平均金額增加了近80%，加密貨幣攻擊者似乎又回到了他們的目標——中心化交易所，而不是優先考慮DeFi協議。
• 高級網絡犯罪分子，包括與朝鮮有關的IT工作者，越來越多地利用鏈下方法，如社會工程學，通過滲透與加密相關的服務來竊取資金。

勒索軟件研究發現

2024年有望成為勒索軟件收入最高的一年，這在很大程度上歸功于執行較少高調攻擊但收取大額支付的勒索軟件變種（行業稱為“大獵物狩獵”）。2024年記錄了有史以來最大的勒索軟件支付，大約7500萬美元支付給了Dark Angels勒索軟件組織。

針對最嚴重勒索軟件變種的中位數勒索支付從2023年初的近20萬美元飆升至2024年6月中旬的150萬美元，表明這些變種正在優先針對可能因資金充足和系統重要性而更有可能支付高額贖金的大型企業和關鍵基礎設施提供商。

由于最近的執法行動破壞了最大的參與者，如ALPHV/BlackCat和LockBit，勒索軟件生態系統經歷了一些分裂。在這些破壞之后，一些附屬機構遷移到效果較差的變種或推出了自己的變種。

勒索軟件與加密貨幣

加密貨幣生態系統在2024年見證了一些積極的發展。在許多方面，加密貨幣繼續獲得主流接受，緊隨美國批準現貨比特幣和以太坊交易型開放式指數基金(ETF)以及財務會計標準委員會(FASB)的公平會計規則的修訂之后。但隨著任何新技術的采用，合法和非法行為者都會增長。盡管與前幾年相比，今年的非法活動有所下降，但特定網絡犯罪相關實體的加密貨幣流入顯示出一些令人擔憂的趨勢。

如下圖所示，2024年流入合法服務的資金是自2021年上一次牛市高峰以來最高的，這是一個令人鼓舞的跡象，表明加密貨幣在全球范圍內的持續采用。流入風險服務（主要由混合器和不收集KYC信息的交易所組成）的資金趨勢高于去年同期。與此同時，非法活動的總體下降了19.6%，從209億美元降至167億美元，表明合法活動的增長速度超過了鏈上非法活動。這些非法數字是基于研究機構今天識別的非法地址流入量的下限估計。

Chainalysis開始將疑似非法活動納入某些犯罪類型的總估計中，基于Chainalysis Signals數據。此前，估計只包括與Chainalysis有支持文件證明屬于某個非法實體的地址相關的總數。Signals利用鏈上數據和啟發式方法來識別特定未知地址或地址簇的疑似類別，置信度從可能到幾乎確定不等。Signals的引入不僅隨著時間的推移增加了我們對某些類別非法活動的估計，而且還使我們能夠完善前幾年的估計。

盡管與去年同期相比非法交易總體下降，但被盜資金和勒索軟件這兩類非法活動卻有所上升。通過7月底的年增長來看，加密貨幣搶劫中被盜資金增加了近一倍，從8.57億美元增至15.8億美元。2023年6月底的勒索軟件流入總計為4.491億美元。今年同期，勒索軟件流入量已超過4.598億美元，這表明我們可能正面臨另一個勒索軟件創紀錄的年份。

攻擊者瞄準中心化交易所

2023年相比2022年加密貨幣被盜價值下降50%，而2024年黑客活動又出現了復蘇，從被盜金額和黑客事件的數量可以看出這一點。如下圖所示，截至7月底，今年累計被盜金額已超過15.8億美元，比去年同期增長了84.4%。有趣的是，2024年的黑客事件數量僅比2023年略有增加，同比增長了2.76%。每次事件中被盜的平均金額增加了79.46%，從2023年1月至7月的每次事件590萬美元增加到2024年迄今為止的每次事件1060萬美元。

被盜金額的變化很大程度上歸因于資產價格的上漲。例如，比特幣的價格從2023年前七個月的平均價格26141美元上漲到今年7月的平均價格60091美元，漲幅達130%。

Chainalysis跟蹤的一個黑客指標是黑客事件發生后被盜資金流動的交易量。這可以作為被盜資產的一個代理，因為很多時候被黑客攻擊的服務不會公開報告被盜的具體細節。2024年與被盜資金活動相關的BTC交易量占這些流動的40%。這種模式似乎是由被攻擊實體類型的變化所驅動的，2024年中心化服務被黑客攻擊以獲取高額資金。特別是像DMM這樣的中心化交易所，其損失了3.05億美元。在DMM黑客事件中，大約19%的被盜金額在2024年被盜，據報道大約有4500 BTC被盜。

加密貨幣攻擊者似乎在四年專注于去中心化對手之后，再次回歸他們的老路，瞄準中心化交易所，后者通常不交易比特幣。盡管對DeFi服務——特別是跨鏈橋接的攻擊在2022年達到頂峰，但攻擊者在中心化交易所增加安全投資后，將注意力轉向了更新、更脆弱的組織。現在包括與朝鮮有關的攻擊者在內的黑客，正在利用越來越復雜的社會工程學策略，例如申請IT工作，通過滲透中心化交易所來竊取加密貨幣。

2024年有望成為勒索軟件收入最高的一年

2023年勒索軟件支付金額創下新高，超過10億美元。這些巨額支付來自一些高調、破壞性的攻擊，如Cl0p對Move IT零日的利用以及ALPHV/BlackCat勒索軟件團伙對凱撒酒店物業的利用，導致該公司支付了1500萬美元的贖金。盡管針對勒索軟件的惡意部署和組織基礎設施的主要執法行動，依舊出現了如此多的贖金支付，截至2023年6月底的累計勒索軟件支付總額約為4.491億美元。今年同期，我們記錄的勒索軟件支付總額為4.598億美元，這使2024年堅定地走上了創紀錄的道路。

Kiva咨詢公司的總法律顧問Andrew Davis表示，盡管對LockBit和ALPHV/BlackCat的打擊持續加大，但總體勒索軟件活動依舊相對穩定。“無論是這些眾所周知的威脅行為者的前附屬機構，還是新的初創企業，大量新的勒索軟件團伙加入了這場混戰，展示了他們進行攻擊的新方法和技巧，如擴大初始訪問和橫向移動的方法。”

如下圖所示，勒索軟件攻擊也變得越來越嚴重。我們觀察到的一個顯著變化是每年最大贖金支付的飆升。到目前為止，2024年出現了有史以來最大的單筆支付，約為7500萬美元，支付給了名為Dark Angels的勒索軟件團伙。這種最大支付金額的增長也代表了從2023年到今年的最大支付金額增長了96%，從2022年的最大支付金額增長了335%。

如果迅速增加的最大支付金額還不夠糟糕的話，這種每年的異常值趨勢實際上還伴隨著中位數支付的增長趨勢。從2023年第一周的中位數支付金額198939美元增加到2024年6月中旬的中位數支付金額150萬美元。這代表了在此期間最嚴重株系支付的典型贖金規模的7.9倍增長，自2021年初以來增長了近1200倍。這種模式可能表明，這些勒索軟件組織開始瞄準大型企業和關鍵基礎設施提供商，這些目標可能因為其雄厚的資金和系統重要性而更支付高額贖金。

勒索軟件的另一個趨勢是攻擊也變得更加頻繁，根據eCrime.ch的數據泄露網站統計，2024年到目前為止至少增加了10%的攻擊。作為勒索軟件事件的衡量標準，勒索軟件泄露網站的帖子同比增加了10%。然而鏈上測量的總勒索軟件支付事件同比下降了27.29%。將這兩個趨勢結合起來看，盡管今年迄今為止的攻擊可能有所增加，但支付率卻同比下降了。這對生態系統來說是一個積極的信號，表明受害者可能準備得更好，不需要支付贖金。

Davis說：“Kivu參與協助受害組織的事務中，大約有65%在沒有支付贖金的情況下得到解決，顯示出受影響組織的韌性和沒有必要支付攻擊者的積極趨勢。”

盡管加密貨幣生態系統中的非法活動繼續呈下降趨勢，但兩類加密貨幣犯罪似乎正在逆勢而上：被盜資金和勒索軟件。這兩種犯罪類型通常由具有某些共同特征的參與者實施。它們通常是利用先進網絡基礎設施的有組織團體。這些參與者以精心策劃的社會工程學策略而聞名，他們利用這些策略闖入加密業務，竊取加密貨幣資產，并利用專家級洗錢技術試圖在資金被查封前套現。

打擊網絡犯罪的關鍵是破壞其供應鏈，包括攻擊者、附屬機構、合作伙伴、基礎設施服務提供商、洗錢者和套現點。由于加密貨幣盜竊和勒索軟件的運營幾乎完全在區塊鏈上進行，配備正確解決方案的執法部門可以通過追蹤資金來更好地理解和破壞這些參與者的運營。

eCrime.ch的研究員Corsin Camichel指出，包括Operation Cronos、Operation Duck Hunt、Operation Endgame等打擊行動和執法行動對于遏制這些活動并表明犯罪行為將會有后果至關重要。

結論

盡管加密貨幣生態系統中的非法活動總體呈下降趨勢，但被盜資金和勒索軟件這兩類加密貨幣犯罪似乎正在逆勢而上。這些犯罪類型通常由具有某些共同特征的行為者實施，他們通常是利用復雜的網絡基礎設施的有組織的團體。在被盜資金的情況下，與朝鮮有關的黑客組織是一些最大搶劫案的幕后黑手。這些行為者以計算出的社會工程策略而聞名，他們闖入加密業務，竊取加密資產，并利用專業的洗錢技術，在資金被查封前嘗試變現。

報告還強調了通過跟蹤資金流向來破壞網絡犯罪供應鏈的重要性，包括攻擊者、附屬機構、合作伙伴、基礎設施服務提供商、洗錢者和提現點。由于加密貨幣搶劫和勒索軟件的操作幾乎完全在區塊鏈上進行，執法部門配備了正確的解決方案，可以追蹤資金流向，更好地理解和破壞這些行為者的操作。

https://www.chainalysis.com/blog/2024-crypto-crime-mid-year-update-part-1/