Ripple поделится данными о хакерах из КНДР с криптовалютной индустрией после взломов DeFi на $577 млн

Ripple передаёт в Crypto ISAC разведывательные данные об угрозах, связанных с Северной Кореей, рассчитывая, что общий контекст об оперативниках КНДР и эксплойтах DeFi поможет нейтрализовать волну взломов 2026 года, главными жертвами которых стали Drift и KelpDAO.

Ripple заявила, что начала делиться внутренними разведывательными данными об активности северокорейских хакеров с членами Crypto ISAC — некоммерческого киберсообщества, ориентированного на сектор цифровых активов.

В совместном блоге директор по развитию Crypto ISAC Кристина Спринг написала, что данные «охватывают диапазон от доменов и кошельков, известных своей связью с мошенничеством, до индикаторов компрометации (IOC) из активных хакерских кампаний КНДР».

Данные об угрозах от Ripple поступают в Crypto ISAC

Она подчеркнула, что отличительной чертой данных от Ripple является не просто набор индикаторов, а «контекстуальное обогащение от команды безопасности с глубокой экспертизой в области угрозующих акторов, влияющих на криптоэкосистему», что даёт защитникам более практически применимый контекст, чем обычный список IOC.

В собственном объявлении Ripple в X утверждается, что «самая надёжная защита в крипто — это общая защита», и добавляется: «Угрожающий актор, не прошедший проверку биографии в одной компании, на той же неделе подаст заявки ещё в три. Без общего обмена разведывательными данными каждая компания начинает с нуля».

По имеющимся данным, разведка включает расширенные профили предполагаемых северокорейских IT-специалистов, пытающихся внедриться в крипто- и финтех-компании, объединяя адреса электронной почты, домены, онлайн-кошельки и вредоносную инфраструктуру, используемую в нескольких кампаниях.

Drift и KelpDAO демонстрируют переход к социальной инженерии

Действия Ripple стали ответом на волну атак, связанных с КНДР, которые в 2026 году были направлены против DeFi, — прежде всего взломы Drift Protocol на базе Solana и платформы рестейкинга KelpDAO.

По оценкам TRM Labs, только эти два инцидента принесли северокорейским группировкам около $577 млн — $285 млн от Drift и порядка $292 млн от KelpDAO, — что составляет 76% от общей стоимости всех криптовзломов по апрель включительно.

Chainalysis и TRM отмечают, что связанные с Северной Кореей акторы похитили более $2 млрд в 2025 году, доведя совокупную добычу до свыше $6,7 млрд, а доля КНДР в мировых потерях от криптовзломов выросла с менее 10% в 2020 году до 64% к 2025 году.

Эксплойт Drift 1 апреля стал следствием того, что The Hacker News и Chainalysis описывают как шестимесячную кампанию социальной инженерии, начавшуюся в конце 2025 года, в ходе которой северокорейские посредники проводили личные встречи с участниками Drift и использовали доверие, чтобы убедить подписантов заранее авторизовать выводы средств через функцию «durable nonce» в Solana.

Затем злоумышленники выполнили 31 предварительно подписанную транзакцию примерно за 12 минут, выведя активы на $285 млн, прежде чем перевести большую часть средств в Ethereum; TRM сообщает, что похищенные ETH в основном остаются неактивными, что свидетельствует об осторожном долгосрочном плане отмывания.

Эксплойт KelpDAO 18 апреля был реализован по иной схеме: связанные с КНДР акторы взломали два внутренних RPC-узла, провели DDoS-атаку на внешние узлы и подали ложные данные в DVN LayerZero Labs для выпуска 116 500 необеспеченных rsETH, после чего использовали это обеспечение для займа около $196 млн в ETH на Aave.

Последующий анализ TRM и других источников показывает, что хотя Arbitrum Security Council заморозил примерно $71,5 млн в нижестоящих ETH, злоумышленники быстро переключились на обмен оставшихся средств в BTC через THORChain и китайских посредников, что подчёркивает изощрённость и адаптивность их операций по отмыванию денег.

В ответ коалиция под руководством Aave — DeFi United — привлекла более $300 млн в рамках плана восстановления KelpDAO, тогда как экстренная заморозка Arbitrum и стремительное формирование межпротокольных рабочих групп по восстановлению свидетельствуют о растущей готовности координировать защитные меры на уровне экосистемы.

Недавний материал Decrypt и собственные сообщения Ripple представляют новую инициативу по обмену данными как попытку опередить эволюцию тактик — переведя отрасль от фрагментированной осведомлённости к общему обмену разведывательными данными в режиме реального времени против того, что исследователь безопасности Натали Ньюсон из CertiK называет «государственно управляемой финансовой операцией, действующей в институциональном масштабе и темпе».