تقوم ريبل بتزويد Crypto ISAC بمعلومات استخباراتية حول التهديدات المرتبطة بكوريا الشمالية، على أمل أن يؤدي السياق المشترك حول عملاء كوريا الشمالية واستغلالات التمويل اللامركزي (DeFi) إلى إحباط موجة اختراقات عام 2026 التي يقودها بروتوكول دريفت (Drift) و كيلب داو (KelpDAO).
قالت ريبل إنها بدأت في مشاركة معلومات استخباراتية داخلية حول نشاط القرصنة الكوري الشمالي مع أعضاء Crypto ISAC، وهو تجمع سيبراني غير ربحي يركز على قطاع الأصول الرقمية.
في مدونة مشتركة، كتبت مديرة النمو في Crypto ISAC كريستينا سبرينغ أن البيانات "تتراوح من النطاقات والمحافظ المعروفة بأنها مرتبطة بالاحتيال، إلى مؤشرات الاختراق (IOCs) من حملات القرصنة النشطة لكوريا الشمالية (DPRK)."
وشددت على أن ما يميز موجزات ريبل ليس فقط المؤشرات الأولية، بل "الإثراء السياقي من فريق أمني لديه خبرة عميقة بالجهات الفاعلة في مجال التهديدات التي تؤثر على النظام البيئي للعملات المشفرة"، مما يمنح المدافعين سياقًا أكثر قابلية للتنفيذ من قائمة مؤشرات الاختراق النموذجية.
حاجج إعلان ريبل الخاص على منصة إكس (X) بأن "الوضع الأمني الأقوى في العملات المشفرة هو وضع مشترك"، مضيفًا أن "الجهة الفاعلة في مجال التهديدات التي تفشل في فحص الخلفية في شركة واحدة ستقدم طلبًا لثلاث شركات أخرى في نفس الأسبوع. بدون تبادل المعلومات الاستخباراتية، تبدأ كل شركة من الصفر."
تتضمن المعلومات الاستخباراتية، حسبما ورد، ملفات تعريف مُثرية لمتخصصي تكنولوجيا المعلومات الكوريين الشماليين المشتبه بهم الذين يحاولون دمج أنفسهم داخل شركات العملات المشفرة والتكنولوجيا المالية (FinTech)، وتربط عناوين البريد الإلكتروني والنطاقات والمحافظ على السلسلة والبنية التحتية للبرامج الضارة المستخدمة عبر حملات متعددة.
تأتي خطوة ريبل استجابة لموجة من الهجمات المرتبطة بكوريا الشمالية التي استهدفت التمويل اللامركزي (DeFi) في عام 2026، وأبرزها الاختراقات التي تعرض لها بروتوكول دريفت (Drift Protocol) القائم على سولانا ومنصة إعادة التخزين كيلب داو (KelpDAO).
تشير تقديرات تي آر إم لابز (TRM Labs) إلى أن هذين الحادثين وحدهما حققا للمجموعات الكورية الشمالية حوالي 577 مليون دولار أمريكي – 285 مليون دولار من دريفت وحوالي 292 مليون دولار من كيلب داو – وهو ما يمثل 76% من إجمالي قيمة قرصنة العملات المشفرة حتى أبريل.
تلاحظ تشيناليسيس (Chainalysis) وتي آر إم (TRM) أن الجهات الفاعلة المرتبطة بكوريا الشمالية سرقت أكثر من 2 مليار دولار في عام 2025، مما رفع إجمالي ما سرقوه المتراكم إلى أكثر من 6.7 مليار دولار، وأن حصة كوريا الشمالية من خسائر قرصنة العملات المشفرة العالمية ارتفعت من أقل من 10% في عام 2020 إلى 64% بحلول عام 2025.
جاء استغلال دريفت في الأول من أبريل في أعقاب ما وصفته ذا هاكر نيوز (The Hacker News) وتشيناليسيس (Chainalysis) بأنه حملة هندسة اجتماعية استمرت ستة أشهر بدأت في أواخر عام 2025، حيث عقد وكلاء كوريون شماليون اجتماعات شخصية مع المساهمين في دريفت واستغلوا هذه الثقة لإقناع الموقعين بالموافقة المسبقة على عمليات السحب عبر ميزة "نونس دائم" (durable nonce) الخاصة بسولانا.
ثم نفذ المهاجمون 31 معاملة موقعة مسبقًا في حوالي 12 دقيقة، مما أدى إلى استنزاف 285 مليون دولار من الأصول قبل نقل معظم الأموال إلى إيثريوم؛ وتقول تي آر إم (TRM) إن الإيثريوم المسروق ظل خاملاً إلى حد كبير، مما يشير إلى خطة غسيل أموال حذرة وطويلة الأمد.
استخدم استغلال كيلب داو (KelpDAO) في 18 أبريل أسلوبًا مختلفًا: فقد اخترق الفاعلون المرتبطون بكوريا الشمالية عقدتي RPC داخليتين، وشنوا هجوم حجب الخدمة (DDoS) على العقد الخارجية، وقاموا بتغذية بيانات خاطئة في شبكة التحقق اللامركزية (DVN) التابعة لـ LayerZero Labs لسك 116,500 من rsETH غير المدعوم، ثم استخدموا هذه الضمانات لاقتراض حوالي 196 مليون دولار من الإيثريوم على آف (Aave).
يُظهر التحليل اللاحق من تي آر إم (TRM) وغيرهم أنه بينما جمد مجلس أمن أربيتروم (Arbitrum Security Council) حوالي 71.5 مليون دولار من الإيثريوم المنقول لاحقًا، سارع المهاجمون إلى مبادلة الأموال المتبقية إلى بيتكوين عبر ثور تشين (THORChain) ووسطاء صينيين، مما يؤكد تعقيد عمليات غسيل الأموال الخاصة بهم وقابليتها للتكيف.
ردًا على ذلك، جمع تحالف ديفاي يونايتد (DeFi United) بقيادة آف (Aave) أكثر من 300 مليون دولار في خطة استرداد لكيلب داو (KelpDAO)، في حين يسلط التجميد الطارئ من أربيتروم (Arbitrum) والتشكيل السريع لفرق عمل الاسترداد عبر البروتوكولات الضوء على الرغبة المتزايدة في تنسيق الإجراءات الدفاعية على مستوى النظام البيئي.
يؤطر مقال حديث في ديكريبت (Decrypt) ورسائل ريبل (Ripple) الخاصة مبادرة تبادل البيانات الجديدة كمحاولة لاستباق هذا التطور في التكتيكات – نقل الصناعة من الوعي المجزأ إلى معلومات استخباراتية مشتركة وفي الوقت الفعلي ضد ما تسميه باحثة الأمن ناتالي نيوسون من سيرتيك (CertiK) "عملية مالية موجهة من الدولة وتعمل على نطاق وسرعة مؤسسية."
