ريبل تشارك معلومات استخباراتية عن قراصنة كوريا الشمالية مع صناعة الكريبتو بعد اختراقات DeFi بقيمة 577 مليون دولار

تُغذّي Ripple منصة Crypto ISAC بمعلومات استخباراتية حول التهديدات المرتبطة بكوريا الشمالية، على أمل أن يُسهم تبادل السياق حول عملاء جمهورية كوريا الشعبية الديمقراطية (DPRK) وثغرات DeFi في الحدّ من موجة الاختراقات عام 2026 التي تقودها Drift وKelpDAO.

أعلنت Ripple أنها بدأت في مشاركة المعلومات الاستخباراتية الداخلية حول نشاط القرصنة الكورية الشمالية مع أعضاء Crypto ISAC، وهو تجمّع إلكتروني غير ربحي يركّز على قطاع الأصول الرقمية.

في مدوّنة مشتركة، كتبت مديرة النمو في Crypto ISAC كريستينا سبرينج أن البيانات "تتراوح بين النطاقات والمحافظ المعروفة بارتباطها بالاحتيال، ومؤشرات الاختراق (IOCs) الصادرة عن حملات اختراق DPRK النشطة."

تغذيات التهديدات من Ripple تصل إلى Crypto ISAC

وأكدت أن ما يميّز تغذيات Ripple ليس مجرد مؤشرات خام، بل "إثراء سياقي من فريق أمني يمتلك خبرة عميقة في جهات التهديد المؤثرة على نظام التشفير البيئي"، مما يمنح المدافعين سياقاً أكثر قابلية للتنفيذ من قائمة IOC النمطية.

جاء في إعلان Ripple الخاص على X أن "أقوى وضعية أمنية في عالم التشفير هي الوضعية المشتركة"، مضيفاً أن "جهة التهديد التي تفشل في التحقق من خلفيتها في شركة واحدة ستتقدم إلى ثلاث شركات أخرى في الأسبوع ذاته. وبدون استخبارات مشتركة، تبدأ كل شركة من الصفر."

تتضمّن المعلومات الاستخباراتية على ما يُفاد ملفات تعريف مُفصَّلة لعمال تقنية المعلومات الكوريين الشماليين المشتبه بهم الذين يحاولون التغلغل داخل شركات التشفير والتقنية المالية، مع ربط عناوين البريد الإلكتروني والنطاقات والمحافظ على السلسلة الرئيسية وبنية البرمجيات الخبيثة المستخدمة عبر حملات متعددة.

Drift وKelpDAO تكشفان عن تحوّل نحو الهندسة الاجتماعية

جاءت خطوة Ripple استجابةً لموجة هجمات مرتبطة بـ DPRK استهدفت DeFi في عام 2026، وأبرزها الاختراقان اللذان طالا Drift Protocol المبني على Solana ومنصة إعادة الرهن KelpDAO.

تُقدّر TRM Labs أن هذَين الحادثَين وحدهما أدرّا على المجموعات الكورية الشمالية ما يقارب 577 مليون دولار—285 مليون دولار من Drift وما يقارب 292 مليون دولار من KelpDAO—مما يمثّل 76% من إجمالي قيمة اختراقات التشفير حتى أبريل.

تُشير Chainalysis وTRM إلى أن الجهات المرتبطة بكوريا الشمالية سرقت أكثر من 2 مليار دولار في عام 2025، مما رفع إجمالي مكاسبها التراكمية إلى ما يزيد على 6.7 مليار دولار، وأن حصة DPRK من خسائر اختراقات التشفير العالمية ارتفعت من أقل من 10% في عام 2020 إلى 64% بحلول عام 2025.

جاء استغلال Drift في الأول من أبريل عقب ما وصفته The Hacker News وChainalysis بأنه حملة هندسة اجتماعية امتدت ستة أشهر بدأت في أواخر عام 2025، نفّذ خلالها وكلاء كوريون شماليون اجتماعات حضورية مع مساهمي Drift، واستغلوا تلك الثقة لإقناع الموقّعين بالتفويض المسبق لعمليات السحب عبر ميزة "durable nonce" في Solana.

ثم نفّذ المهاجمون 31 معاملة موقّعة مسبقاً في نحو 12 دقيقة، فاستنزفوا 285 مليون دولار من الأصول قبل تحويل معظم الأموال إلى Ethereum؛ وتقول TRM إن ETH المسروقة ظلّت في معظمها خاملة، مما يدل على خطة تبييض بيضاء حذرة بعيدة المدى.

استخدم استغلال KelpDAO في 18 أبريل أسلوباً مختلفاً: اخترق الجهات المرتبطة بـ DPRK عقدتَي RPC داخليتَين، وشنّوا هجمات DDoS على العقد الخارجية، وأدخلوا بيانات مزيّفة في DVN الخاص بـ LayerZero Labs لسكّ 116,500 وحدة rsETH غير مدعومة، ثم استخدموا تلك الضمانات للاقتراض بما يقارب 196 مليون دولار بـ ETH على Aave.

يُظهر التحليل اللاحق من TRM وغيرها أنه بينما جمّد مجلس أمن Arbitrum ما يقارب 71.5 مليون دولار من ETH الصادرة، سارع المهاجمون إلى تحويل الأموال المتبقية إلى BTC عبر THORChain وسماسرة صينيين، مما يُبرز تطوّر وقدرة التكيّف في عمليات التبييض لديهم.

رداً على ذلك، جمع تحالف DeFi United بقيادة Aave أكثر من 300 مليون دولار في خطة تعافٍ لصالح KelpDAO، فيما يُبرز تجميد Arbitrum الطارئ والتشكيل السريع لفرق عمل التعافي عبر البروتوكولات تنامياً في الاستعداد لتنسيق التدابير الدفاعية على مستوى النظام البيئي.

تُؤطّر ميزة حديثة في Decrypt ورسائل Ripple الخاصة هذه المبادرة الجديدة لتبادل البيانات باعتبارها محاولة للتقدم على هذا التطور في الأساليب—نقل الصناعة من الوعي المجزّأ إلى الاستخبارات المشتركة والآنية في مواجهة ما تصفه باحثة الأمن ناتالي نيوسون في CertiK بأنه "عملية مالية موجَّهة من الدولة تعمل بحجم وسرعة مؤسسيَّين."