Ripple jagab Põhja-Korea hakerite kohta teavet krüptovaluutatööstusega pärast $577 miljoni väärtuses DeFi-rünnakuid

Ripple sisestab Põhja-Korea seotud ohutähelepanekute andmeid Crypto ISAC-i, lootuses, et ühiselt jagatud teave Põhja-Korea toimijate ja DeFi-rünnakute kohta aitab vähendada Drifti ja KelpDAO poolt juhitavat 2026. aasta rünnakulaine.

Ripple ütles, et on alanud jagama oma sisemisi ohutähelepanekute andmeid Põhja-Korea hakerite tegevuse kohta Crypto ISAC-i liikmetega – mitteprofitliku küberkogukonna liikmetega, mille keskmes on digitaalsete varade valdkond.

Koos ilmunud blogipostituses kirjutas Crypto ISAC-i kasvujuht Christina Spring, et andmed „hõlmavad domeene ja rahakotte, mis on teadaolevalt seotud pettustega, ning aktiivsete Põhja-Korea rünnakukampaaniate kompromisse näitavaid tunnuseid (IOCs)“.

Ripple’i ohutähelepanekute voog läheb Crypto ISAC-i

Ta rõhutas, et Ripple’i voogude eripära ei ole mitte ainult toorandmed, vaid ka „kontekstuaalne täiendus turvalisuseteamalt, kellel on sügav teadmistepõhi ohutegurite kohta, kes mõjutavad krüptovaluutade ökosüsteemi“, andes kaitsevägedele rohkem tegutsemiseks sobivat konteksti kui tavaline IOC-nimekiri.

Ripple’i enda teade X-is väitis, et „krüptovaluutade turvalisuse tugevaim seisukoht on jagatud seisukoht“, lisades, et „ohutegur, kes ei läbi taustauuringut ühes ettevõttes, esitab sama nädala jooksul kolmele teisele ettevõttele.“ Ilma jagatud teabeta alustab iga ettevõte nullist.“

Andmed sisaldavad eeldatavalt Põhja-Korea IT-töötajate täiendatud profiile, kes püüavad end krüpto- ja finantstehnoloogiaettevõtetesse sisse tungida, seostades kokku e-posti aadressid, domeenid, chainil olevad rahakotid ja mitmes kampaanias kasutatud mürgitustarkvara infrastruktuuri.

Drift ja KelpDAO näitavad liikumist sotsiaalse inseneritöö suunas

Ripple’i samm on reageering Põhja-Korea seotud rünnakute lainele, mis on 2026. aastal sihitanud DeFi-d, eriti Solana-põhist Drift Protocoli ja uuesti paigutamisplatvormi KelpDAO.

TRM Labs hindab, et need kaks juhtumit andsid Põhja-Korea rühmadele kokku umbes 577 miljonit USA dollarit – 285 miljonit Driftist ja ligikaudu 292 miljonit KelpDAO-st – mis moodustab aprilli lõpuni kogu krüptovaluutade rünnakute väärtusest 76%.

Chainalysis ja TRM märkisid, et Põhja-Korea seotud tegijad varastasid 2025. aastal rohkem kui 2 miljardit USA dollarit, tõstes nende kogusumma üle 6,7 miljardi USA dollari, samas kui Põhja-Korea osakaalad globaalsetes krüptovaluutade rünnakute kaotustes tõusid 2020. aastal alla 10%-lt 2025. aastal 64%-ni.

1. aprillil toimunud Drifti rünnak järgnes The Hacker Newsi ja Chainalysisi kirjelduse kohaselt kuuekuuliselt sotsiaalse inseneritööga juhitavale kampaaniat, mis algas 2025. aasta lõpus ja mille käigus Põhja-Korea esindajad pidasid Drifti kaasautoritega isiklikke kohtumisi ning kasutasid selle usalduse kindlustamiseks Solana „püsiva nonce“ funktsiooni abil väljamakseid eelautorisatsiooniks.

Ründajad täitsid seejärel umbes 12 minuti jooksul 31 eelallkirjastatud tehingut, võttes ära 285 miljonit USA dollarit väärtuses varasid enne kui enamiku rahalisi vahendeid ühendasid Ethereumile; TRM teatas, et varastatud ETH on suurema osa ajast olnud liikumatuna, mis viitab ettevaatlikule, pikaealisel pesuplaanil.

18. aprillil toimunud KelpDAO rünnak kasutas teistsugust lähenemist: Põhja-Korea seotud tegijad kompromitteerisid kaks sisemist RPC-sõlme, teostasid välistele sõlmedele DDoS-rünnaku ja sisestasid valeandmeid LayerZero Labsi DVN-i, et mintida 116 500 tagatiseta rsETH-i, mida kasutati seejärel Aave’is laenu saamiseks umbes 196 miljonit USA dollarit ETH-st.

Hilisem analüüs TRM’ilt ja teistelt näitab, et kuigi Arbitrumi turvalisusnõukogu külmutas allapoole jõudnud ETH-st umbes 71,5 miljonit USA dollarit, pöörasid ründajad kiiresti täiendavad vahendid THORChaini ja hiinlaste poolel asuvate poormeeste kaudu BTC-ks, rõhutades oma pesumise operatsioonide täpsust ja kohanduvust.

Sellele reageerides on Aave’i juhtimisel loodud koalitsioon DeFi United kogunud üle 300 miljoni USA dollari taastamiskavale KelpDAO jaoks, samas kui Arbitrumi kiire külmumine ja ristprotokolliliste taastumisülesannete töörühmade kiire moodustamine näitab kasvavat valmidust koordineerida kaitsemeetmeid kogu ökosüsteemi tasemel.

Hiljutine Decrypti artikkel ja Ripple’i enda sõnumid kujutavad seda uut andmejagamise algatust kui katset jõuda selle taktika arengu ette – liikudes fragmenteeritud teadlikkusest ühiselt, reaalajas jagatud teabeni selle vastu, mille turvalisusuuringute spetsialist Natalie Newson CertiK’is nimetab „riiklikult juhitavaks finantsoperatsiooniks, mis toimib institutsionaalsel skaalal ja kiirusel“.