Ripple udostępni branży kryptowalut dane wywiadowcze o hakerach z Korei Północnej po włamaniach DeFi wartych 577 mln dolarów

Ripple przekazuje do Crypto ISAC dane wywiadowcze dotyczące zagrożeń powiązanych z Koreą Północną, licząc, że wspólny kontekst dotyczący operatorów DPRK i exploitów DeFi pozwoli powstrzymać falę hakerską 2026 roku, napędzaną przez Drift i KelpDAO.

Ripple poinformowało, że rozpoczęło dzielenie się wewnętrznymi danymi wywiadowczymi dotyczącymi północnokoreańskiej działalności hakerskiej z członkami Crypto ISAC – non-profit kolektywu cyberbezpieczeństwa skupionego na sektorze aktywów cyfrowych.

We wspólnym blogu dyrektor ds. rozwoju Crypto ISAC, Christina Spring, napisała, że dane „obejmują zarówno domeny i portfele znane z powiązań z oszustwami, jak i wskaźniki kompromitacji (IOC) z aktywnych kampanii hakerskich DPRK".

Dane wywiadowcze Ripple trafiają do Crypto ISAC

Podkreśliła, że tym, co wyróżnia dane wywiadowcze Ripple, nie są jedynie surowe wskaźniki, lecz „kontekstowe wzbogacenie od zespołu bezpieczeństwa z głęboką wiedzą ekspercką na temat podmiotów zagrażających ekosystemowi kryptowalut", co daje obrońcom bardziej praktyczny kontekst niż typowa lista IOC.

Własne ogłoszenie Ripple na X argumentowało, że „najsilniejsza postawa bezpieczeństwa w kryptowalutach jest wspólna", dodając, że „podmiot zagrażający, który nie przejdzie weryfikacji w jednej firmie, w tym samym tygodniu złoży podanie do trzech kolejnych. Bez wspólnego wywiadu każda firma zaczyna od zera".

Dane wywiadowcze podobno zawierają wzbogacone profile podejrzanych północnokoreańskich pracowników IT, próbujących osadzić się w firmach kryptowalutowych i fintech, łącząc ze sobą adresy e-mail, domeny, portfele on-chain oraz infrastrukturę złośliwego oprogramowania wykorzystywaną w wielu kampaniach.

Drift i KelpDAO wskazują na zwrot ku inżynierii społecznej

Działanie Ripple jest odpowiedzią na falę ataków powiązanych z DPRK, wymierzonych w DeFi w 2026 roku, a w szczególności włamania na działający na Solanie Drift Protocol oraz platformę re-stakingową KelpDAO.

TRM Labs szacuje, że te dwa incydenty przyniosły północnokoreańskim grupom łącznie około 577 mln dolarów – 285 mln dolarów z Drift i około 292 mln dolarów z KelpDAO – co stanowi 76% całkowitej wartości skradzionych kryptowalut do końca kwietnia.

Chainalysis i TRM odnotowują, że podmioty powiązane z Koreą Północną ukradły ponad 2 miliardy dolarów w 2025 roku, co daje łączną sumę przekraczającą 6,7 miliarda dolarów, a udział DPRK w globalnych stratach z tytułu włamań na kryptowaluty wzrósł z poniżej 10% w 2020 roku do 64% w 2025 roku.

Exploit Drift z 1 kwietnia był poprzedzony tym, co The Hacker News i Chainalysis opisują jako sześciomiesięczną kampanię inżynierii społecznej, która rozpoczęła się pod koniec 2025 roku, podczas której północnokoreańskie pośredniki odbywały osobiste spotkania z kontrybutorami Drift i wykorzystywały to zaufanie, aby przekonać sygnatariuszy do wstępnego autoryzowania wypłat za pomocą funkcji Solany „durable nonce".

Następnie atakujący wykonali 31 wstępnie podpisanych transakcji w ciągu około 12 minut, wyprowadzając aktywa o wartości 285 mln dolarów przed przeniesieniem większości środków do Ethereum; TRM twierdzi, że skradzione ETH w dużej mierze pozostaje uśpione, co wskazuje na ostrożny, długoterminowy plan prania pieniędzy.

Exploit KelpDAO z 18 kwietnia opierał się na innym schemacie: podmioty powiązane z DPRK skompromitowały dwa wewnętrzne węzły RPC, przeprowadziły atak DDoS na zewnętrzne węzły i wprowadziły fałszywe dane do DVN LayerZero Labs, aby wybić 116 500 niepokrytych rsETH, a następnie wykorzystały to zabezpieczenie do pożyczenia około 196 mln dolarów w ETH na Aave.

Późniejsza analiza TRM i innych podmiotów pokazuje, że choć Arbitrum Security Council zamroziło około 71,5 mln dolarów w ETH znajdującym się dalej w łańcuchu, atakujący szybko przestawili się na wymianę pozostałych środków na BTC za pośrednictwem THORChain i chińskich pośredników, co podkreśla wyrafinowanie i zdolność adaptacji ich operacji prania pieniędzy.

W odpowiedzi koalicja DeFi United kierowana przez Aave zebrała ponad 300 mln dolarów w ramach planu naprawczego dla KelpDAO, podczas gdy awaryjne zamrożenie przez Arbitrum i szybkie powołanie międzyprotokołowych zespołów ds. odzyskiwania środków podkreślają rosnącą gotowość do koordynowania środków obronnych na poziomie ekosystemu.

Niedawny artykuł w Decrypt  oraz komunikaty samego Ripple przedstawiają nową inicjatywę wymiany danych jako próbę wyprzedzenia tej ewolucji taktyk – przeniesienia branży z fragmentarycznej świadomości do wspólnego, bieżącego wywiadu przeciwko temu, co badaczka bezpieczeństwa Natalie Newson z CertiK nazywa „kierowaną przez państwo operacją finansową działającą w skali i tempie instytucjonalnym".