Ripple speist Bedrohungsdaten mit Nordkorea-Bezug in Crypto ISAC ein, in der Hoffnung, dass gemeinsame Informationen über DPRK-Agenten und DeFi-Exploits eine von Drift und KelpDAO angeführte Hackwelle im Jahr 2026 abfedern können.
Ripple hat nach eigenen Angaben damit begonnen, interne Bedrohungsdaten über nordkoreanische Hackeraktivitäten mit Mitgliedern von Crypto ISAC zu teilen, einem gemeinnützigen Cyberkollektiv, das sich auf den Bereich digitaler Assets konzentriert.
In einem gemeinsamen Blogbeitrag schrieb Christina Spring, Wachstumsdirektorin von Crypto ISAC, dass die Daten „von Domänen und Wallets, die bekanntermaßen mit Betrug in Verbindung gebracht werden, bis hin zu Indikatoren für Kompromittierungen (IOCs) aus aktiven DPRK-Hackerkampagnen reichen.“
Sie betonte, dass Ripples Feeds sich nicht nur durch rohe Indikatoren auszeichnen, sondern auch durch „kontextuelle Anreicherung von einem Sicherheitsteam mit tiefgreifender Expertise der Bedrohungsakteure, die das Krypto-Ökosystem beeinflussen“, was Verteidigern einen umsetzbareren Kontext als eine typische IOC-Liste biete.
Ripples eigene Ankündigung auf X argumentierte, dass „die stärkste Sicherheitslage im Krypto-Bereich eine gemeinsame ist“, und fügte hinzu, dass „ein Bedrohungsakteur, der bei einem Unternehmen einen Hintergrundcheck nicht besteht, in derselben Woche bei drei weiteren Unternehmen einen Antrag stellen wird. Ohne gemeinsame Informationen fängt jedes Unternehmen bei Null an.“
Die Informationen umfassen Berichten zufolge angereicherte Profile mutmaßlicher nordkoreanischer IT-Mitarbeiter, die versuchen, sich in Krypto- und Fintech-Firmen einzuschleusen, wobei E-Mail-Adressen, Domänen, On-Chain-Wallets und Malware-Infrastrukturen, die in mehreren Kampagnen verwendet wurden, miteinander verknüpft werden.
Ripples Schritt erfolgt als Reaktion auf eine Welle von DPRK-verbundenen Angriffen, die im Jahr 2026 DeFi ins Visier genommen haben, insbesondere die Hacks auf dem Solana-basierten Drift Protocol und der Re-Staking-Plattform KelpDAO.
TRM Labs schätzt, dass allein diese beiden Vorfälle nordkoreanischen Gruppen etwa 577 Millionen US-Dollar einbrachten – 285 Millionen US-Dollar von Drift und rund 292 Millionen US-Dollar von KelpDAO – was 76 % des gesamten Krypto-Hack-Wertes bis April ausmacht.
Chainalysis und TRM stellen fest, dass nordkoreanische Akteure im Jahr 2025 mehr als 2 Milliarden US-Dollar gestohlen haben, wodurch sich ihre kumulierten Beute auf über 6,7 Milliarden US-Dollar erhöhte, und dass der Anteil der DPRK an den weltweiten Krypto-Hack-Verlusten von unter 10 % im Jahr 2020 auf 64 % im Jahr 2025 gestiegen ist.
Der Drift-Exploit vom 1. April folgte einer sechsmonatigen Social-Engineering-Kampagne, die Ende 2025 begann und die von The Hacker News und Chainalysis beschrieben wurde. Während dieser Kampagne hielten nordkoreanische Stellvertreter persönliche Treffen mit Drift-Mitarbeitern ab und nutzten dieses Vertrauen, um Unterzeichner davon zu überzeugen, Abhebungen über Solanas „durable nonce“-Funktion vorab zu autorisieren.
Angreifer führten dann 31 vorab signierte Transaktionen in etwa 12 Minuten aus, wodurch 285 Millionen US-Dollar an Vermögenswerten abgezogen wurden, bevor der Großteil der Gelder zu Ethereum überbrückt wurde; TRM sagt, dass die gestohlenen ETH größtenteils inaktiv geblieben sind, was auf einen vorsichtigen, langfristigen Geldwäscheplan hindeutet.
Der KelpDAO-Exploit vom 18. April nutzte ein anderes Vorgehen: DPRK-verbundene Akteure kompromittierten zwei interne RPC-Knoten, führten DDoS-Angriffe auf externe Knoten durch und speisten falsche Daten in LayerZero Labs' DVN ein, um 116.500 ungedeckte rsETH zu prägen, und nutzten diese Sicherheiten dann, um etwa 196 Millionen US-Dollar in ETH auf Aave zu leihen.
Die nachfolgende Analyse von TRM und anderen zeigt, dass, während der Arbitrum Security Council etwa 71,5 Millionen US-Dollar an nachfolgenden ETH eingefroren hat, die Angreifer schnell dazu übergingen, die verbleibenden Gelder über THORChain und chinesische Vermittler in BTC umzutauschen, was die Raffinesse und Anpassungsfähigkeit ihrer Geldwäscheoperationen unterstreicht.
Als Reaktion darauf hat die von Aave geführte Koalition DeFi United mehr als 300 Millionen US-Dollar für einen Wiederherstellungsplan für KelpDAO gesammelt, während Arbitrums Notfall-Einfrierung und die schnelle Bildung protokollübergreifender Wiederherstellungs-Taskforces eine wachsende Bereitschaft zur Koordination von Abwehrmaßnahmen auf Ökosystemebene unterstreichen.
Ein kürzlicher Decrypt Artikel und Ripples eigene Kommunikation stellen die neue Datenfreigabe-Initiative als Versuch dar, dieser Entwicklung der Taktiken zuvorzukommen – die Branche von fragmentiertem Bewusstsein zu geteilter, Echtzeit-Intelligenz zu bewegen, gegen das, was Sicherheitsforscherin Natalie Newson von CertiK als „eine staatlich gelenkte Finanzoperation, die im institutionellen Maßstab und Tempo abläuft“, bezeichnet.
