Ripple deelt DPRK-hackerinformatie met de crypto-industrie na $577 miljoen aan DeFi-hacks
Ripple voert dreigingsinformatie over Noord-Korea door naar Crypto ISAC, in de hoop dat gedeelde context over DPRK-operatieven en DeFi-exploits een hackgolf in 2026 — aangevoerd door Drift en KelpDAO — kan afwenden.
- Ripple draagt exclusieve dreigingsinformatie over Noord-Korea bij aan het informatie-uitwisselingsplatform Crypto ISAC, met het argument dat "de sterkste beveiligingspositie in crypto een gedeelde is."
- DPRK-hackers hebben tot nu toe in 2026 ongeveer $577 miljoen aan crypto gestolen — 76% van alle hackverliesenen tot nu toe — voornamelijk via twee DeFi-exploits op Drift Protocol en KelpDAO.
- De inlichtingen omvatten verrijkte profielen van vermoedelijke Noord-Koreaanse IT-operatieven en gedetailleerde indicatoren van compromittering (IOC's), terwijl aanvallers overstappen van puur technische exploits naar langdurige, op social engineering gebaseerde campagnes.
Ripple zei dat het interne dreigingsinformatie over Noord-Koreaanse hackactiviteiten is gaan delen met leden van Crypto ISAC, een non-profit cybercollectief gericht op de digitale-activasector.
In een gezamenlijke blog schreef Crypto ISAC-groeidirecteur Christina Spring dat de gegevens "variëren van domeinen en wallets waarvan bekend is dat ze geassocieerd zijn met fraude, tot Indicatoren van Compromittering (IOC's) uit actieve DPRK-hackcampagnes."
Ripple's dreigingsfeeds gaan naar Crypto ISAC
Ze benadrukte dat wat Ripple's feeds onderscheidt niet alleen ruwe indicatoren zijn, maar "contextuele verrijking van een beveiligingsteam met diepgaande expertise over de dreigingsactoren die het crypto-ecosysteem beïnvloeden", waardoor verdedigers meer bruikbare context krijgen dan een typische IOC-lijst.
Ripple's eigen aankondiging op X stelde dat "de sterkste beveiligingspositie in crypto een gedeelde is", en voegde eraan toe dat "een dreigingsactor die een antecedentenonderzoek bij één bedrijf niet haalt, diezelfde week bij drie anderen solliciteert. Zonder gedeelde inlichtingen begint elk bedrijf bij nul."
De inlichtingen bevatten naar verluidt verrijkte profielen van vermoedelijke Noord-Koreaanse IT-medewerkers die proberen zich in te bedden bij crypto- en fintech-bedrijven, waarbij e-mailadressen, domeinen, on-chain wallets en malware-infrastructuur die bij meerdere campagnes zijn gebruikt, aan elkaar worden gekoppeld.
Drift en KelpDAO tonen een verschuiving naar social engineering
Ripple's stap is een reactie op een golf van DPRK-gelinkte aanvallen die DeFi in 2026 hebben getroffen, met name de hacks op het op Solana gebaseerde Drift Protocol en het re-staking-platform KelpDAO.
TRM Labs schat dat die twee incidenten alleen al Noord-Koreaanse groepen ongeveer $577 miljoen opleverden — $285 miljoen van Drift en ongeveer $292 miljoen van KelpDAO — goed voor 76% van alle cryptohackwaarde tot en met april.
Chainalysis en TRM merken op dat Noord-Korea-gelinkte actoren in 2025 meer dan $2 miljard stalen, waarmee hun cumulatieve buit boven de $6,7 miljard uitkwam, en dat het aandeel van de DPRK in de wereldwijde cryptohackverliezen steeg van minder dan 10% in 2020 naar 64% in 2025.
De Drift-exploit van 1 april volgde op wat The Hacker News en Chainalysis omschrijven als een zes maanden durende social engineering-campagne die eind 2025 begon, waarbij Noord-Koreaanse tussenpersonen persoonlijke vergaderingen hielden met Drift-bijdragers en dat vertrouwen gebruikten om ondertekenaars te overtuigen opnames vooraf te autoriseren via Solana's "durable nonce"-functie.
Aanvallers voerden vervolgens 31 vooraf ondertekende transacties uit in ongeveer 12 minuten, waarbij ze $285 miljoen aan activa leegdraineerden voordat ze het grootste deel van de fondsen naar Ethereum bridgeden; TRM zegt dat de gestolen ETH grotendeels inactief is gebleven, wat wijst op een voorzichtig, langetermijn witwasplan.
De KelpDAO-exploit van 18 april gebruikte een ander draaiboek: DPRK-gelinkte actoren compromitteerden twee interne RPC-nodes, voerden DDoS-aanvallen uit op externe nodes, en voedden valse gegevens in de DVN van LayerZero Labs om 116.500 ongedekte rsETH te minten, waarna ze dat onderpand gebruikten om ongeveer $196 miljoen aan ETH te lenen op Aave.
Latere analyse van TRM en anderen toont aan dat hoewel de Arbitrum Security Council ongeveer $71,5 miljoen aan downstream ETH bevroor, de aanvallers snel overstapten op het omwisselen van resterende fondsen naar BTC via THORChain en Chinese tussenpersonen, wat de verfijning en aanpassingsvermogen van hun witwasoperaties onderstreept.
Als reactie hierop heeft de door Aave geleide coalitie DeFi United meer dan $300 miljoen opgehaald in een herstelplan voor KelpDAO, terwijl de noodbevriezing van Arbitrum en de snelle vorming van cross-protocol hersteltaskforces een groeiende bereidheid benadrukken om defensieve maatregelen op ecosysteemniveau te coördineren.
Een recent artikel van Decrypt en Ripple's eigen berichtgeving framen het nieuwe initiatief voor het delen van gegevens als een poging om voor te blijven op deze evolutie in tactieken — waarbij de industrie van gefragmenteerde bewustwording overgaat naar gedeelde, realtime inlichtingen tegen wat beveiligingsonderzoeker Natalie Newson van CertiK een "door de staat gestuurde financiële operatie die op institutionele schaal en snelheid werkt" noemt.
Misschien vind je dit ook leuk
Is SecureMyPass Legitiem? Moderne Mobiele Ticketbezorging Begrijpen
Bitget Wallet lanceert gratis API-platform voor Web3-ontwikkelaars
