Le vol de Crypto monnaie a augmenté en 2022 alors que les escroqueries et la prime des ransomwares ont chuté : Chainalysis

Le volume des transactions liées à la criminalité a augmenté pour la deuxième année consécutive, atteignant un sommet historique de 20,6 milliards de dollars, indique la société d'analyse de blockchain Chainalysis dans son nouveau « Crypto Crime Report ». Mais cela ne représente qu’une petite part du volume total du marché de la Crypto : moins de 1 %.

2022 est devenue l’année la plus importante pour les voleurs de Crypto . Selon Chainalysis, environ 3,8 milliards de dollars, plus que toute autre année, ont été volés dans divers services et protocoles, dont 775,7 millions de dollars ont été volés rien qu'en octobre. Dans le même temps, les revenus totaux des escrocs et des hackers de ransomwares ont diminué, indique le rapport.

82,1 % de tous les fonds volés provenaient de protocoles de Finance décentralisée (DeFi), en particulier de ponts inter-chaînes – des protocoles permettant aux utilisateurs d'échanger des actifs entre deux blockchains différentes. "Les ponts sont une cible attrayante pour les pirates informatiques, car les contrats intelligents deviennent en réalité d'énormes référentiels centralisés de fonds soutenant les actifs qui ont été reliés à la nouvelle chaîne - un pot de miel plus souhaitable pourrait difficilement être imaginé", indique le rapport.

Une tendance croissante dans les hacks DeFi est la manipulation d'oracle, lorsqu'un attaquant compromet les mécanismes par lesquels un protocole décentralisé obtient un prix pour les actifs négociés et crée des conditions favorables pour des transactions rapides et extrêmement rentables, explique Chainalysis. Selon le rapport, en 2022, les protocoles DeFi ont perdu 386,2 millions de dollars dans 41 attaques distinctes de manipulation d'oracle.

Un exemple en est l'exploit de Mango Marchés , pour lequel l'attaquant présumé, Avraham Eisenberg, a été arrêté et fait maintenant face à des accusations de manipulation de matières premières devant un tribunal américain.

Les hackers nord-coréens du groupe Lazarus ont battu leur propre record en 2022 : 1,7 milliard de dollars volés à plusieurs victimes. La majeure partie de cet argent a été envoyée vers des bourses décentralisées et plusieurs mélangeurs : Tornado Cash, Blender.io et, après la fermeture de Blender, vers Sinbad. Sinbad a peut-être été lancé par la même équipe qui dirigeait Blender, a déclaré plus tôt la société de renseignement blockchain Elliptic.

Lire aussi : Le mélangeur sanctionné relancé sous le nom de Sinbad, selon Elliptic

Il pourrait y avoir un facteur de distorsion important dans les statistiques globales des transactions illicites : 43 % de l'ensemble du volume des transactions illicites de 2022 provenait d'activités associées à des entités sanctionnées, a déclaré Chainalysis.

Une grande partie de ces flux d'argent illicites sont des fonds reçus par l'entité sanctionnée Garantex, qui n'est probablement que des « utilisateurs russes utilisant une bourse russe », a déclaré Chainalysis, mais la plupart des professionnels de la conformité traitent de toute façon ces transactions comme des activités illicites, ajoute-t-il.

En 2022, les États-Unis ont sanctionné le marché russe du darknet Hydra , la bourse Garantex , les mélangeurs Crypto Blender.io et Tornado Cash . Tout l’argent traité par ces services sanctionnés n’était pas d’origine criminelle : seuls 6,1 % des fonds reçus par Garantex provenaient de sources illicites (toujours 20 fois plus que les échanges centralisés en moyenne) ; pour Tornado Cash, ce chiffre est de 34 %, selon Chainalysis.

Les sanctions ont sérieusement freiné le Flow de fonds vers Tornado Cash, mais Garantex est resté aussi actif que jamais et a vu encore plus de fonds provenant d'escroqueries connues et de magasins darknet, a déclaré Chainalysis.

Les sanctions semblent également réduire la popularité des mixeurs : en 2022, 7,8 milliards de dollars de Crypto sont passés par les mixeurs, contre 11,5 milliards de dollars en 2021. L'Office américain du contrôle des actifs étrangers (OFAC) a sanctionné les mixeurs Tornado Cash et Blender.io l'année dernière parce que les deux ces services avaient été activement utilisés par le groupe de hackers nord-coréen Lazarus.

L'infrastructure Crypto reste ouverte aux pirates informatiques ransomwares, car ils envoient le plus souvent de l'argent extorqué à des échanges Crypto centralisés, a déclaré Chainlaysis. Les échanges centralisés, malgré l'attention accrue des forces de l'ordre du monde entier au cours des dernières années, restent les principaux destinataires des fonds criminels , a déclaré Chainalysis.

Sur le même sujet : Les variantes de ransomware sont en hausse mais les gains globaux diminuent : Chainalysis

Cependant, les pirates qui volent des Crypto sur les bourses et autres entités préfèrent les plateformes DeFi pour le blanchiment d'argent, en particulier lorsque les protocoles DeFi eux-mêmes sont victimes, indique le rapport. "Dans les hacks DeFi, les attaquants se retrouvent souvent avec des jetons qui ne sont T répertoriés sur d'autres bourses, ils doivent donc utiliser des bourses décentralisées (DEX) pour les échanger contre des actifs Crypto plus liquides", selon Chainalysis.

D'autres cybercriminels utilisent généralement des plateformes darknet, des mixeurs et des échanges centralisés dotés de faibles protections KYC (Know Your Customer), comme Bitzlato , dont le fondateur et d'autres membres du personnel ont été arrêtés en janvier.

Le rapport LOOKS un cas particulier d' une souche de ransomware, Deadbolt, qui était active en 2022. Contrairement aux groupes de ransomware les plus tristement célèbres tels que Conti , attaquant de grandes organisations pour obtenir de grosses rançons, les opérateurs de Deadbolt ont choisi de cibler les petites entreprises et les particuliers. En 2022, il a reçu plus de 2,3 millions de dollars d’environ 4 923 victimes, qui ont payé environ 476 dollars chacune en moyenne.

Une particularité ici est la façon dont ce groupe a envoyé des clés de décryptage à leurs victimes qui ont payé la rançon : une fois qu'une victime a envoyé une transaction Bitcoin à l'adresse de Deadbolt, une autre transaction était déclenchée automatiquement, renvoyant une maigre quantité de Bitcoin (environ 1 $) avec le clé de déchiffrement écrite dans le champ OP-RETURN des données de transaction.

Ce mécanisme a permis à la police royale néerlandaise, qui enquêtait sur le groupe, d'obtenir les clés de décryptage d'une douzaine de victimes sans qu'elles aient à débourser leur argent. La police a envoyé des transactions de paiement aux pirates, mais dès qu'ils ont reçu la clé, ils ont annulé les paiements en utilisant le mécanisme de remplacement par des frais .

Le remplacement par frais permet de remplacer la transaction déjà initiée dans la blockchain Bitcoin par une ONE avec des frais plus élevés, de sorte que les mineurs incluraient une transaction plus rentable dans la blockchain et la ONE deviendrait invalide car le Bitcoin est déjà dépensé. .

Lire aussi : Un gang de ransomwares a extorqué 725 BTC en une ONE attaque, selon des détectives en chaîne