Ripple поділиться розвідданими про хакерів КНДР з криптовалютною індустрією після злому DeFi на $577M

Ripple передає пов'язану з Північною Кореєю розвідку про загрози до Crypto ISAC, сподіваючись, що спільний контекст щодо оперативників КНДР та експлойтів DeFi допоможе стримати хвилю зламів 2026 року на чолі з Drift і KelpDAO.

Ripple повідомила, що почала ділитися внутрішньою розвідкою про загрози щодо хакерської діяльності Північної Кореї з членами Crypto ISAC — некомерційного кіберколективу, що зосереджений на секторі цифрових активів.

У спільному блозі директор із розвитку Crypto ISAC Крістіна Спрінг написала, що дані «варіюються від доменів і гаманців, відомих як пов'язані з шахрайством, до індикаторів компрометації (IOC) з активних хакерських кампаній КНДР».

Фіди загроз Ripple надходять до Crypto ISAC

Вона підкреслила, що відрізняє фіди Ripple не просто набір необроблених індикаторів, а «контекстне збагачення від команди безпеки з глибокою експертизою щодо загрозливих акторів, які впливають на криптовалютну екосистему», що надає захисникам більш дієвий контекст, ніж типовий список IOC.

Власне оголошення Ripple в X стверджує, що «найміцніший захист у криптовалюті — це спільний захист», додаючи, що «загрозливий актор, який не пройде перевірку анкетних даних в одній компанії, подасть заявку ще до трьох компаній того ж тижня. Без спільної розвідки кожна компанія починає з нуля».

Повідомляється, що розвідка включає розширені профілі підозрюваних ІТ-працівників Північної Кореї, які намагаються впровадитися всередину криптовалютних і фінтех-компаній, пов'язуючи разом адреси електронної пошти, домени, гаманці в блокчейні та інфраструктуру шкідливого програмного забезпечення, що використовується в численних кампаніях.

Drift і KelpDAO демонструють перехід до соціальної інженерії

Крок Ripple є відповіддю на хвилю атак, пов'язаних із КНДР, що були спрямовані проти DeFi у 2026 році, зокрема зломи Drift Protocol на базі Solana та платформи рестейкінгу KelpDAO.

TRM Labs оцінює, що лише ці два інциденти принесли північнокорейським угрупованням близько $577 мільйонів — $285 мільйонів від Drift і приблизно $292 мільйони від KelpDAO, — що становить 76% від усієї вартості зламів криптовалюти до квітня.

Chainalysis і TRM зазначають, що пов'язані з Північною Кореєю актори вкрали понад $2 мільярди у 2025 році, довівши їхній сукупний здобуток до понад $6,7 мільярда, і що частка КНДР у глобальних збитках від зламів криптовалюти зросла з менш ніж 10% у 2020 році до 64% у 2025 році.

Експлойт Drift 1 квітня слідував тому, що The Hacker News і Chainalysis описують як шестимісячну кампанію соціальної інженерії, яка розпочалася наприкінці 2025 року, під час якої північнокорейські посередники проводили особисті зустрічі з учасниками Drift і використовували цю довіру, щоб переконати підписантів заздалегідь авторизувати виведення коштів через функцію Solana «durable nonce».

Потім зловмисники виконали 31 попередньо підписану транзакцію приблизно за 12 хвилин, виснаживши активи на $285 мільйонів, перш ніж перемістити більшість коштів до Ethereum; TRM повідомляє, що викрадений ETH здебільшого залишається неактивним, що свідчить про обережний, довгостроковий план відмивання коштів.

Експлойт KelpDAO 18 квітня використав інший підхід: пов'язані з КНДР актори скомпрометували два внутрішні вузли RPC, здійснили DDoS-атаку на зовнішні вузли та подали хибні дані до DVN компанії LayerZero Labs для карбування 116 500 незабезпечених rsETH, а потім використали ці застави для запозичення близько $196 мільйонів в ETH на Aave.

Подальший аналіз TRM та інших показує, що хоча Рада безпеки Arbitrum заморозила приблизно $71,5 мільйона в ETH нижнього рівня, зловмисники швидко переорієнтувалися на обмін залишків коштів на BTC через THORChain і китайських посередників, що підкреслює витонченість і адаптивність їхніх операцій з відмивання коштів.

У відповідь коаліція DeFi United під керівництвом Aave зібрала понад $300 мільйонів у рамках плану відновлення для KelpDAO, тоді як екстрене заморожування Arbitrum і швидке формування міжпротокольних робочих груп із відновлення підкреслюють зростаючу готовність координувати захисні заходи на рівні екосистеми.

Нещодавній матеріал Decrypt і власні повідомлення Ripple представляють нову ініціативу з обміну даними як спробу випередити цю еволюцію тактик — перевести галузь від фрагментованої обізнаності до спільної розвідки в режимі реального часу проти того, що дослідниця безпеки Наталі Ньюсон із CertiK називає «державною фінансовою операцією, що діє в інституційному масштабі та темпі».