Нещодавно компанія Chainalysis оприлюднила щорічне дослідження – Звіт про криптозлочини-2023. В цьому документі команда проаналізувала останні тенденції на тіньовому ринку криптовалют. Зокрема, мова йде про такі злочини, як шахрайство, використання програм-вимагачів, крадіжка крипти, відмивання грошей тощо.
Про це повідомляє видання Delo.ua, в якому ознайомились з цим звітом та обрали найцікавіше з нього.
Як за рік змінився світовий ринок криптозлочинів
Загалом у 2023 році ринок криптозлочинів склав $24,2 млрд. Cвіт злочинної криптоекономіки продемонстрував падіння десь на 40% – у 2022 році ринок злочинів з використанням крипти сягав $39,6 млрд.
Показники криптозлочинності за 2023 рік можуть зрости, оскільки аналітична команда Chainalysis проводить постійний моніторинг нових незаконних транзакцій у світі. Зокрема, первинна оцінка ринку криптозлочинів-2022 складала $20,6 млрд. Через рік ця цифра зросла до $39,6 млрд.
Загальна вартість криптовалюти, отримана незаконними адресами. Джерело: Chainalysis
Об’єми ринку криптозлочинів за 2022 рік в оцінках Chainalysis суттєво зросли й тому, що експерти вирішили включити в ці показники вимоги кредиторів до FTX на $8,7 млрд. Ця сума була включена тому, що екс-гендиректора збанкрутілої біржі визнали винним у шахрайстві.
Також тіньова криптоекономіка включає в себе й доходи від звичайних злочинів, наприклад, від обігу наркотиків, якщо “монети” тут використовуються як платіжний засіб.
Які криптовалюти використовує злочинний світ
До 2021 року біткоїн був найпопулярнішою криптовалютою серед кіберзлочинців, ймовірно, через його високу ліквідність. Але за останні два роки тренд змінився: тепер стейблкоїни становлять більшу частину всіх незаконних транзакцій.
Читайте по темі: Пов’язані з РФ хакери посилили кібератаки проти Південної Кореї
“Ця зміна також відбулася разом із нещодавнім зростанням частки стейблкоїнів у загальній криптовалютній діяльності, включаючи законну діяльність”, – говорять аналітики Chainalysis.
Обсяг незаконних операцій за типом активів. Джерело: Chainalysis
Однак домінування стейблкоїнів характерне не для всіх форм злочинів, пов’язаних із криптовалютою. Деякі розрахунки відбуваються, як й раніше, в BTC. Зокрема, мова йде про продажі у даркнеті та використання програм-вимагачів. А от транзакції, що пов’язані зі шахрайством чи особами, які перебувають під санкціями, навпаки перейшли у стейблкоїни.
Обсяг незаконних операцій за категорією злочину та типом активів. Джерело: Chainalysis
“Організації, які перебувають під санкціями або залучені до фінансування тероризму, активно використовують стейблкоїни, оскільки мають певні труднощами під час доступу до долару, але хочуть отримати вигоду від його стабільності. Однак емітенти стейблкоїнів можуть заморозити кошти, коли дізнаються про їх незаконне використання. Це нещодавно зробив Tether з адресами, пов’язаними з тероризмом і військовими діями в Ізраїлі та Україні”, – говориться у звіті Chainalysis.
Топ-3 тренди на ринку криптозлочинів у 2023 році
Тренд №1. Зменшились об’єми шахрайства та крадіжок крипти
У 2023 році доходи від криптошахрайства та хакерства впали на 29,2% і 54,3% відповідно. Чому цих злочинів стає менше?
“Показники криптовалютного шахрайства падали тому, що ринок криптовалют був в депресії. Це логічно, оскільки шахрайство є найбільш успішним, коли ринки ростуть, надлишок є високим і люди відчувають, що вони втрачають можливість швидко розбагатіти”, – зазначають аналітики Chainalysis.
Загалом злочинці останні роки обрали таку тактику, як романтичне шахрайство. Воно працює за такою схемою:
1. Йде полювання на конкретну людину.
2. З жертвою будують стосунки в режимі онлайн.
3. Далі людину націлюють на шахрайські можливості інвестування.
“Звичайно, вплив шахрайства в любовних стосунках на окремих жертв є руйнівним, і його не слід недооцінювати. І ці злочини треба ретельно досліджувати”, – кажуть в Chainalysis.
Якщо ж говорити про криптозломи, причина падіння таких злочинів полягає в іншому: ці хакерські атаки легко помітити.
“Зниження вкрадених коштів здебільшого спричинене різким падінням хакерства DeFi. Цей спад може означати, що протоколи DeFi покращують свою практику безпеки. Тим не менш, якщо з’явиться один новий великий злом, він може знову змінити тенденцію”, – говориться у звіті.
Тренд №2. Активність програм-вимагачів і даркнету зростає
В минулому році ринки програм-вимагачів і темних мереж стали найпоширенішими формами криптозлочинності. Тут доходи зростали, хоча ще у 2022-му знижувались.
“Зростання доходу від програм-вимагачів свідчить про те, що, можливо, зловмисники пристосувалися до покращення кібербезпеки організацій, адже раніше цей ринок падав”, – вважають у Chainalysis.
Аналогічні тренди відбуваються на ринку даркнету: у 2023 році доходи злочинців тут зростали, але у 2022-му – падали.
“Це падіння було зумовлене в основному закриттям Hydra, яка колись була найбільш домінуючим ринком у світі, охоплюючи понад 90% усіх доходів ринку даркнету на піку. Хоча єдиного ринку ще не виникло, щоб зайняти його місце, сектор відновлюється, а загальний дохід повертається до максимумів 2021 року”, – говорять автори дослідження.
Тренд №3. Підсанкційні організації активізували незаконні транзакції
У 2023 році юридичні особи та юрисдикції, які потрапили санкції, здійснили операції на суму $14,9 млрд. Це становить 61,5% від усіх незаконних операцій за той період.
“Більша частина цієї суми припадає на криптовалютні сервіси, які потрапили під санкції Управління контролю за іноземними активами Мінфіну США (OFAC) або розташовані юрисдикціях, що підпадають під такі санкції. Але ці сервіси продовжувати працювати, оскільки знаходяться в юрисдикціях, де не виконуються санкції США”, – відмічено у звіті.
Наприклад, російська біржа Garantex потрапила під санкції OFAC і OFSI у Великобританії за сприяння відмиванню грошей від кіберзлочинців. Саме цей майданчик найактивніше сприяв збільшенню обсягу транзакцій, пов’язаних із санкціями у 2023 році. Але Garantex продовжує працювати, оскільки Росія не виконує санкцій США.
“Історія Garantex створює серйозний ризик застосування санкцій для криптоплатформ, які підпадають під юрисдикцію США чи Великої Британії. Ці платформи повинні пильно перевіряти усі операції, зокрема, щоб вони не були пов’язані із Garantex. Тільки пильне виконання вимог юрисдикцій США та ВБ захистить ці криптоплатформи від можливих санкцій”, – вважають аналітики Chainalysis.
Як зловмисники заробили $1 млрд на програмах-вимагачах
У 2023 році програми-вимагачі активізували свої операції, націлившись на високопоставлені установи та критичну інфраструктуру, включаючи лікарні, школи та державні відомства. Великі атаки вплинули на різні компанії – від BBC до British Airways. У результаті зловмисники змогли отримати дохід у понад $1 млрд, коли вимагали платежі у криптовалюті від жертв.
“Минулорічні події підкреслюють еволюцію цієї кіберзагрози та її зростаючий вплив на глобальні інститути та безпеку в цілому”, – говориться у звіті.
Загальна вартість, отримана зловмисниками-вимагачами. Джерело: Chainalysis
Дохід в $1 млрд є найвищим показником за всю історію спостережень цього криптозлочину. При цьому ця цифра не враховує економічні наслідки для компаній, які відновлювали інфраструктури після хакерських атак. Наприклад, корпорація MGM не платила викупи, але, за оцінками, їх збитки дійшли до понад $100 млн.
“Наші цифри є консервативними оцінками, ймовірно, вони зростуть, коли будуть виявлені нові адреси програм-вимагачів. Наприклад, у звіті за 2022 рік зазначено $457 млн доларів у вигляді викупу, але ця цифра зросла на 24,1%”, – кажуть в Chainalysis.
Чому зросли масштаб та обсяг атак програм-вимагачів
Атаки організують різні суб’єкти – від великих синдикатів до окремих осіб. За даними компанії з кібербезкеки Recorded Future, у 2023 році було виявлено 538 нових варіантів програм-вимагачів.
“Ми спостерігаємо астрономічне зростання кількості загроз, які здійснюють атаки програм-вимагачів”, – каже аналітик аналізу загроз Recorded Future Аллан Ліска.
Найпопулярніші штами програм-вимагачів за прибутком за кварталами. Джерело: Chainalysis
Варто зазначити, що останні роки зловмисники обрали домінуючу стратегію “полювання на велику дичину”. При цьому левова частка платежів за допомогою програм-вимагачів складає понад $1 млн.
Кейс: як зловмисники полюють на велику дичину
У 2023 році хакери активно використовували вразливості нульового дня у програмному забезпеченні (ПЗ). Це вигідно, оскільки злочинці можуть використовувати такі прогалини в безпеці, про які розробникам ще невідомо або потрібен час на виправлення проблем. Такі хакерські атаки можуть бути особливо вдалими, якщо вразливості виникають у масовому ПЗ, але кінцеві споживачі не знають про конкретні слабкі місця.
В цій стратегії найвідомішою стала хакерська атака групи Cl0p. У 2023 році злочинці використали вразливість нульового дня у популярній програмі MOVEit.
Для розуміння: MOVEit – це програмне забезпечення для передачі файлів, яке використовується багатьма ІТ-додатками та хмарними програмами. Тому ця вразливість виявила доступ до даних сотень організацій і мільйонів людей одночасно.
“Багато користувачів MOVEit не знали, що вони постраждали”, – говорить Аллан Ліска з Recorded Future.
Хакери використали таку стратегію: викрадення даних без блокування доступу. Далі вони погрожували оприлюднити їх.
“Ця тактика вимагає менше часу, менше досвіду та навичок для виконання, і часто може бути виконана без шкідливого ПЗ”, – говорить старший директор відділу реагування на інциденти компанії Coveware Ліззі Куксон.
В результаті хакери змогли зібрати понад $100 млн у вигляді викупу. Це 44,8% від усіх коштів, отриманих за допомогою програм-вимагачів у червні-2023, та 39% – у липні.
Як на крипторинку організовано рух коштів від програм-вимагачів
Злочинці використовують різноманітні схеми, щоб відмити гроші від програм-вимагачів. При цьому на ці процеси хакерам може знадобитися декілька років.
Призначення коштів, надісланих із гаманців програм-вимагачів. Джерело: Chainalysis
Аналітики Chainalysis зазначають, що шахраї проводять значну частку транзакцій через централізовані біржі та міксери. Однак у 2023 році з’явилися нові можливості для відмивання грошей: бриджі, миттєві обмінники та послуги азартних ігор.
“Біржі продемонстрували найнижчий рівень концентрації, тоді як послуги азартних ігор, крос-ланцюгові мости та санкції показали найвищий рівень концентрації. Змішувачі, біржі без KYC і підпільні біржі були посередині. Можливо, концентрація Mixer зросла в результаті демонтажу Chipmixer, який усунув популярний варіант для зловмисників-вимагачів”, – говориться у звіті.
Як працювала система відмивання грошей у 2023 році
Метою відмивання грошей є приховати злочинне походження коштів, щоб отримати до них доступ і витратити їх. Тому злочинці часто використовують для цих цілей криптовалюту. Щоб відмити брудні гроші, вони переміщують кошти до служб, де їх можна конвертувати в готівку. При цьому часто хакери вживають додаткових заходів, щоб приховати походження таких “монет”. В основному використовують дві схеми:
1. Посередницькі послуги та гаманці. Ця категорія включає особисті гаманці, міксери, миттєві обмінники, різні типи протоколів DeFi та ін. Криптозлочинці зазвичай використовують послуги цієї категорії, щоб зберігати кошти або “змити” їх кримінальне походження, шляхом приховування зв’язку в ланцюжку між адресою джерела та поточною адресою.
2. Послуги для переводу у фіат. Ця категорія включає будь-який сервіс, де криптовалюта може бути конвертована у фіатну валюту. Найпоширенішими є централізовані обміни. Але є також обміни P2P, послуги азартних ігор, крипто-банкомати.
Важливо пам’ятати, що всі ці служби мають різні можливості та варіанти, коли справа стосується боротьби з відмиванням грошей. Наприклад, централізовані біржі мають високий контроль, оскільки можуть заморожувати кошти, що надходять із підозрілих або незаконних джерел. Проте протоколи DeFi зазвичай не мають такої можливості, оскільки вони працюють автономно та не опікуються коштами користувачів.
“Емітенти токенів також можуть відігравати позитивну роль. Зокрема, такі стейблкойни, як USDT і USDC, мають функції заморожування активів, які зберігаються за адресами, пов’язаними зі злочинністю”, – говорять у Chainalysis.
Ключові тенденції на ринку відмивання криптогрошей
Читайте по темі: У Кіровоградській області викрили голову МСЕК на вимаганні грошей з паралізованого військового
У 2023 році незаконні адреси надіслали до сервісів $22,2 млрд. У 2022 році ця сума склала $31,5 млрд. Частково це падіння можна пояснити загальним зменшенням обсягу криптотранзакцій. Однак якщо обсяг легальних транзакцій знизився на 14,9%, то падіння активності відмивання грошей впало на 29,5%.
Загальна кількість відмитої криптовалюти за роками. Джерело: Chainalysis
Загалом централізовані обміни залишаються основним пунктом призначення коштів, надісланих із незаконних адрес. Цей тренд залишається стабільним останні п’ять років. При цьому роль незаконних сервісів зменшилася, але зросла частка незаконних коштів, що надходять на протоколи DeFi.
“Це можна пов’язати із загальним зростанням ринку DeFi, але прозорість цієї інфраструктури загалом робить його поганим вибором для приховування руху коштів”, – вважають аналітики.
Призначення коштів, що залишають незаконні гаманці. Джерело: Chainalysis
Як сконцентровано відмивання грошей на фіатних майданчиках
Послуги фіатних сервісів є важливими, оскільки в них злочинці можуть конвертувати криптовалюту в готівку. Це кульмінація процесу відмивання грошей.
Хоча на крипторинку діють тисячі служб з відмивання грошей, найактивніше такі послуги надають кілька сервисів. Зокрема, у 2023 році 71,7% усіх незаконних коштів пішов лише на п’ять сервісів. У 2023 році цей показник склав 68,7%.
Також цікаво подивитися, як сконцентровано відмивання грошей на рівні депозитної адреси.
Для розуміння: депозитні адреси – це адреси централізованих служб, пов’язаних з окремими користувачами. Їх можна вважати банківськими рахунками.
Уся незаконна криптовалюта, отримана за адресами депозитних служб у фіаті. Джерело: Chainalysis
На цьому графіку показано депозитні адреси служб, які отримували незаконну криптовалюту у 2023 році. Сірі смужки відображають кількість депозитних адрес. Сині смужки представляють, скільки загалом прийшло незаконних криптогрошей.
Наприклад, на графіку можна побачити, що 2 235 329 депозитних адрес отримали незаконну криптовалюту на суму $5-100. Разом усі ці депозитні адреси отримали $69,4 млн.
Чому у 2023 році хакери змогли вкрасти на 50% менше
2022 рік став найвдалішим за всю історію криптокрадіжки, адже хакери вкрали $3,7 млрд. Однак у 2023 році цей показник впав на 54,3% до $1,7 млрд. Хоча при цьому кількість окремих інцидентів злому зросла:
Загальна річна вартість, викрадена під час криптозломів, і кількість зломів. Джерело: Chainalysis
Чому хакери менше вкрали? Здебільшого через падіння злому DeFi. Зломи протоколів DeFi активно відбувались у 2021 і 2022 роках. Зокрема, у 2022-му було вкрадено понад $3,1 млрд. У 2023 році сума досягла лише $1,1. Падіння склало 63,7%.
Криптовалюта, викрадена в хакерських атаках за типом платформи жертви. Джерело: Chainalysis
Але у 2023 році все одно було кілька великих атак на протоколи DeFi. Наприклад:
Чому відбуваються атаки на DeFi
На думку експертів, багато вразливостей DeFi виникли тому, що оператори протоколів зосереджуються на зростанні, а не на впровадженні надійних систем безпеки.
“Посилення заходів безпеки в протоколах DeFi є ключовим фактором у зменшенні кількості хакерів, пов’язаних із уразливістю смарт-контрактів. При цьому операторам DeFi варто зосередитися не тільки на безпеці смарт-контрактів, а й усунути вразливості поза мережею”, – вважає Мар Гіменес-Агілар, провідний архітектор з безпеки компанії Halborn, що спеціалізується на рішеннях web3 та blockchain.
Водночас з цим, експерт не виключає, що падіння втрат від зламу DeFi у 2023 році відбулося через загальне зниження активності на цьому ринку.
“Можливо, зменшилась кількість протоколів DeFi, які стали мішенями для хакерів”, – каже Гіменес-Агілар.
Як хакери з Північної Кореї крали крипту у 2023 році
Минулого року Північна Корея зламала більше криптоплатформ, ніж будь-коли. Кількість зломів тоді зросла до 20-ти. Але вдалося вкрасти менше грошей. Так, минулого року північнокорейські хакери викрали $1 млрд. У 2022-му ця сума була суттєво більшою – $1,7 млрд.
Варто зазначити, що найбільш відомими хакерськими групами у Північній Кореї вважаються Kimsuky та Lazarus Group.
Орієнтовна вартість, викрадена пов’язаними з КНДР хакерами. Джерело: Chainalysis
Зокрема, у 2023 році хакери, пов’язані з Північною Кореєю, вкрали:
“У 2023 році спостерігалося помітне зниження таргетування Північною Кореєю протоколів DeFi, що відображає загальне падіння злому DeFi”, – зазначено у звіті.
На які тренди у криптозломі варто очікувати далі
Хоча у 2023 році хакери вкрали значно менше грошей з криптоплатформ, не варто розслаблятися. Очевидно, що зловмисники вчаться та актуалізують свої знання. Але й команди криптобірж вдосконалюють системи безпеки.
“Коли криптоплатформи діятимуть негайно після атак, правоохоронці матимуть кращі можливості для зв’язку з біржами, де знаходяться заморожені кошти. Вони зможуть, зокрема, швидше ініціювати конфіскацію вкрадених грошей. Тож по мірі покращення цих процесів, є надія, шо частка коштів, що крадуть під час криптозломів, буде зменшуватися”, – вважають аналітики Chainalysis.
Авторка: Христина Коновалова
Джерело: Delo.ua