https://www.chainalysis.com/blog/2024-crypto-crime-mid-year-update-part-1, translated by getliner.

2024年8月15日 | 作者：Chainalysis团队

关键发现

• 自年初以来，链上总体非法活动减少了近20%，表明合法活动增长速度快于非法活动。

• 尽管与去年同期相比，非法交易有所下降，但有两个类别的非法活动——被盗资金和勒索软件——却在上升。具体而言，被盗资金的流入几乎翻了一番，从8.57亿美元增至15.8亿美元，而勒索软件的流入略增约2%，从4.491亿美元增至4.598亿美元。

被盗资金

• 每次盗窃中被盗的加密货币平均金额增加了近80%。部分原因是比特币（BTC）价格上涨，这占这些盗窃相关交易总量的40%。加密盗贼似乎也开始重回老路，更频繁地针对中心化交易所，而不是优先考虑不太受欢迎的DeFi协议进行比特币交易。

• 包括与朝鲜相关的IT工作人员在内的高级网络犯罪分子，正越来越多地利用链外方法，如社交工程，通过渗透加密相关服务来盗取资金。

勒索软件

• 2024年将是勒索软件支付的最高收益年，这在很大程度上归因于某些黑客实施的高调攻击减少，但收取的高额支付（业内称为“大型游戏狩猎”）却不少。2024年已经出现了最大勒索软件支付，约为7500万美元，支付给了“黑暗天使”勒索软件组。最严重的勒索软件威胁，支付的中位数赎金已从2023年初的略低于20万美元，飙升至2024年6月中旬的150万美元，这表明这些威胁力度较大的黑客更倾向于针对具有更深口袋和系统重要性的较大企业和关键基础设施提供商。

• 由于最近执法部门对最大参与者（如ALPHV/黑猫和LockBit）的干扰，勒索软件生态系统经历了一定的碎片化。在这些干扰之后，一些合作伙伴迁移到效果较差的攻击手段或启动了自己的攻击手段。

2024年对加密货币生态系统来说出现了一些积极的发展。在许多方面，加密货币继续获得主流接受，特别是在美国批准现货比特币和以太坊交易所交易基金（ETF）以及对财政会计准则委员会（FASB）公平会计规则进行修订之后。但和任何新技术一样，合规和不合规行为的参与者都会逐渐增加。尽管与往年相比，今年非法活动有所减少，但流入特定与网络犯罪相关的实体的资金显示出一些令人担忧的趋势。

• 如下图所示，迄今为止，今年流入合法服务的资金已达到自2021年上一个牛市高峰以来的最高水平。这一鼓舞人心的迹象表明，加密货币在全球的继续普及。流入高风险服务（主要由不收集KYC信息的混合器和交易所组成）的资金趋势高于去年同期。与此同时，总体非法活动同比减少了19.6%，从209亿美元降至167亿美元，表明合法活动在链上增长速度快于非法活动。正如我们一贯警告的那样，这些非法数字是基于我们今天识别的非法地址流入的下限估算。随着时间的推移，这些总数几乎肯定会更高，因为我们会归因于更多的非法地址并将其历史活动纳入我们的数据。

此外，今年的另一项重要更新是，我们开始将某些犯罪类型的可疑非法活动纳入我们的总估算，基于Chainalysis Signals数据。此前，我们的估算仅包括与Chainalysis有支持文档证明其属于某个非法实体的地址挂钩的总额。Signals利用链上数据和启发式方法识别特定未知地址或地址群的可疑类型，置信水平从可能到几乎确定。Signals的引入不仅随着时间的推移增加了某些类别非法活动的估算，还使我们能够在更长时间内完善前几年的估算，以便有更多时间收集输入并理解可疑活动的链上模式。随着恶意行为者不断演变其战术，我们的检测和干扰方法也将随之改进。

尽管与去年同期相比，非法交易总体趋势下降，但两种显著的非法活动类型——被盗资金和勒索软件——却在上升。从年初至今，被盗的资金同比增长，至7月底几乎翻了一番，从8.57亿美元增至15.8亿美元。在去年的年中更新中，2023年6月的勒索软件流入总计为4.491亿美元。而今年，在同一时期，勒索软件的流入已超过4.598亿美元，这表明我们可能会迎来勒索软件的另一个创纪录年份。

被盗资金激增，攻击者重回老路，锁定中心化交易所

经过与2022年相比2023年加密货币盗窃价值下跌50%后，今年黑客活动又回归活跃。对被盗金额和黑客事件数量的同比比较非常显著。如下面的图表所示，今年截至7月底被盗的累计价值已超过15.8亿美元，约比去年同期的被盗价值高出84.4%。有趣的是，2024年的黑客事件数量仅比2023年的数量略有增加，同比增长仅为2.76%。每次事件的被盗资产平均价值增长了79.46%，从2023年1月至7月的每次事件590万美元增加到2024年至今的每次事件1060万美元，这是基于盗窃时资产的价值。

被盗资产价值变化很大程度上归因于资产价格上涨。例如，比特币在2023年前七个月的平均价格为26141美元，而今年截至7月的平均价格为60091美元，增长了130%。

比特币的价格在此尤为重要。Chainalysis跟踪的一项黑客措施是与被盗资金流动相关的交易量。这可以作为被盗资产的代理，因为许多被黑服务并未公开报告被盗资产的分解。去年，30%的交易量与比特币相关。今年，与被盗资金活动相关的比特币交易量占这些流动的40%。这一模式似乎是由于受害实体类型的变化，2024年中心化服务以较高的价值被黑。尤其是对于中心化交易所，如DMM，其损失达到了3.05亿美元。在DMM的黑客事件中，报道称约4500个比特币被盗。

加密盗贼似乎重回老路，重新针对中心化交易所，在过去四年中关注的去中心化交易所通常不交易比特币。

尽管2022年对DeFi服务——尤其是跨链桥的攻击达到了峰值，我们推测攻击者在中心化交易所加大安全投资后，或许转向了更新的、更脆弱的组织。如今，与朝鲜相关的攻击者利用越来越复杂的社会工程战术——包括申请IT工作——通过渗透他们历史上的主要目标之一——中心化交易所，来窃取加密货币。联合国最近报告称，西方科技公司雇用的朝鲜工作人员超过4000人。

2024年的勒索软件年将是最高收入的一年

2023年，勒索软件支付创下了超过10亿美元的记录。这些巨额支付来自于一些高调且具有破坏性的攻击，如MoveIT零日的Cl0p漏洞和ALPHV/黑猫勒索软件集团针对凯撒酒店资产的攻击，迫使该公司支付1500万美元的赎金。这些支付也是在针对勒索软件部署者恶意软件和组织基础设施的主要执法行动中发生的。在去年此时，我们报告称截至2023年6月底，累计勒索软件支付约为4.491亿美元。今年在同一时期，我们记录的赎金支付总额逾4.598亿美元，使2024年的纪录年成为定局。

Kiva Consulting的首席法律顾问Andrew Davis表示，尽管LockBit和ALPHV/黑猫遇到 disruptions，勒索软件活动仍然保持相对稳定。“无论是这些知名威胁行为者的前合作者，还是新的初创团队，许多新的勒索软件团伙已经加入，展示出新的方法和技术进行攻击，比如扩展初始访问和横向移动的方法。”

如下面的图表所示，勒索软件攻击的情况也明显恶化。其中一个显著的变化是，我们观察到的某一年内最高赎金支付大幅上升。到目前为止，2024年，我们记录的最大单笔赎金支付约为7500万美元，支付给了一个名为“黑暗天使”的勒索软件组。此最高支付金额的增长还代表了2023年同比增长96%以及较2022年最高支付金额335%的增加。

如果迅速增长的最高支付金额还不足以构成恶化的迹象，那么每年的极端值的这一趋势实际上与中位数支付金额的增长趋势形成了双重打击。这一趋势在最具破坏性的勒索软件事件中尤为明显。为了更清楚地了解这一趋势，我们根据其链上活动水平将所有攻击手段分类如下：

• 非常高严重性攻击: 一年内收到的最高支付超过100万美元
• 高严重性攻击: 一年内收到的最高支付在10万美元至100万美元之间
• 中等严重性攻击: 一年内收到的最高支付在1万美元至10万美元之间
• 中低严重性攻击: 一年内收到的最高支付在1000美元至1万美元之间
• 低严重性攻击: 一年内收到的最高支付少于1000美元

利用这一分类系统，我们可以跟踪各严重性中位支付金额的惊人增长。上升趋势在“非常高严重性”攻击中尤其显著，从2023年第一周的中位支付金额198,939美元增加到2024年6月中旬的150万美元。这代表了这一期间内最严重攻击类型赎金支付的典型金额增长了7.9倍，较2021年初增长了近1200倍。这一模式可能表明，这些攻击者更倾向于针对那些可能由于其深厚资金和系统重要性而更愿意支付庞大赎金的较大企业和关键基础设施提供商。

然而，最高严重性攻击的YTD总额仍未达到2023年的水平，下降了50.8%。这一点在下图中可以看到。这可能与执法活动对ALPHV/黑猫和LockBit等最大参与者的干扰有关，这一情况在一段时间内停止了勒索软件运营。在这些干扰之后，生态系统变得更加碎片化，合作伙伴迁移到效果较差的攻击方式或启动了自己的攻击。因此，高严重性攻击在YTD活动上增长了104.8%。

勒索软件的另一个趋势是，攻击频率也在升级，至今为止，今年的攻击数量至少增加了10%，根据eCrime.ch的数据泄露网站统计。值得注意的是，尽管在赎金支付总额和最大赎金数量上看似创造了纪录，攻击形势也在恶化，但也许还有一丝好消息。在这些逆风中，受害者支付赎金的频率仍在下降。根据eCrime.ch的数据，勒索软件泄露网站的帖子作为勒索软件事件的衡量标准，YoY增长了10%，如果更多受害者被攻击，我们就会期待看到这一趋势。然而，按照链上测量的总勒索支付事件同比下降了27.29%。通过这两种趋势的并行解读显示，尽管今年迄今为止攻击数量上涨，但支付率同比下降。这是对生态系统发出的积极信号，表明受害者也许逐渐做好了准备，不再需要付款。

Davis表示：“Kivu参与协助受害组织的约65%的案件已经解决，而没有支付赎金，继续展示出受影响机构的韧性和对支付攻击者的必要性减轻。”

尽管加密生态系统中的非法活动持续下降，两种类别的加密犯罪却呈现出逆势而行的趋势：被盗资金和勒索软件。显著的是，这两种犯罪类型通常由具备某些特征的行为者所犯。这些行为者通常是组织严密的团体，利用复杂的网络基础设施。在被盗资金的情况下，与朝鲜相关的黑客组织则是某些最大盗窃事件的幕后黑手。这些行为者以其有计划的社交工程战术而著称，突破加密业务，盗取加密资产，并利用专业的洗钱技术试图在资金被扣押之前兑现。

打击网络犯罪的关键在于破坏其供应链，包括攻击者、合作者、合作伙伴、基础设施服务提供者、洗钱者和现金提现点。由于加密盗窃和勒索软件的操作几乎完全在区块链上，执法部门凭借正确的解决方案可以追踪资金，以更好地了解和干扰这些行为者的操作。eCrime.ch的研究人员Corsin Camichel表示：“我认为，像行动计划Cronos、Duck Hunt和Endgame等打击行动对于遏制这些活动并传达犯罪行为将面临后果至关重要。”