Ripple está compartiendo inteligencia de amenazas vinculada a Corea del Norte con Crypto ISAC, con la esperanza de que el contexto compartido sobre los operativos de la RPDC y los exploits de DeFi puedan frenar una ola de hackeos en 2026 liderada por Drift y KelpDAO.
Ripple anunció que ha comenzado a compartir inteligencia interna sobre la actividad de hacking norcoreana con miembros de Crypto ISAC, un colectivo cibernético sin fines de lucro enfocado en el sector de activos digitales.
En un blog conjunto, la directora de crecimiento de Crypto ISAC, Christina Spring, escribió que los datos “van desde dominios y carteras conocidas por estar asociadas con fraude, hasta Indicadores de Compromiso (IOCs) de campañas de hacking activas de la RPDC”.
Ella enfatizó que lo que diferencia los feeds de Ripple no son solo indicadores brutos, sino “un enriquecimiento contextual de un equipo de seguridad con profunda experiencia en los actores de amenazas que impactan el ecosistema cripto”, lo que brinda a los defensores un contexto más procesable que una lista típica de IOCs.
El propio anuncio de Ripple en X argumentó que “la postura de seguridad más sólida en cripto es una compartida”, añadiendo que “un actor de amenazas que no pasa una verificación de antecedentes en una empresa aplicará a tres más esa misma semana. Sin inteligencia compartida, cada empresa comienza desde cero”.
Según los informes, la inteligencia incluye perfiles enriquecidos de presuntos trabajadores de TI norcoreanos que intentan infiltrarse en empresas de cripto y fintech, uniendo direcciones de correo electrónico, dominios, carteras en cadena e infraestructura de malware utilizada en múltiples campañas.
La medida de Ripple responde a una ola de ataques vinculados a la RPDC que han afectado a DeFi en 2026, destacando los hackeos en Drift Protocol, basado en Solana, y la plataforma de re-staking KelpDAO.
TRM Labs estima que esos dos incidentes por sí solos reportaron a los grupos norcoreanos aproximadamente 577 millones de dólares —285 millones de Drift y aproximadamente 292 millones de KelpDAO—, lo que representa el 76% de todo el valor robado por hackeos de criptomonedas hasta abril.
Chainalysis y TRM señalan que los actores vinculados a Corea del Norte robaron más de 2 mil millones de dólares en 2025, elevando su botín acumulado por encima de los 6.7 mil millones de dólares, y que la participación de la RPDC en las pérdidas globales por hackeos de criptomonedas aumentó de menos del 10% en 2020 al 64% en 2025.
El exploit de Drift del 1 de abril siguió lo que The Hacker News y Chainalysis describen como una campaña de ingeniería social de seis meses que comenzó a fines de 2025, durante la cual los proxies norcoreanos tuvieron reuniones en persona con los colaboradores de Drift y utilizaron esa confianza para convencer a los firmantes de pre-autorizar retiros a través de la función "durable nonce" de Solana.
Luego, los atacantes ejecutaron 31 transacciones pre-firmadas en unos 12 minutos, drenando 285 millones de dólares en activos antes de transferir la mayoría de los fondos a Ethereum; TRM afirma que el ETH robado ha permanecido en gran medida inactivo, lo que indica un plan de lavado cauteloso y a largo plazo.
El exploit de KelpDAO del 18 de abril utilizó una estrategia diferente: actores vinculados a la RPDC comprometieron dos nodos RPC internos, lanzaron ataques DDoS a nodos externos y alimentaron datos falsos en el DVN de LayerZero Labs para acuñar 116,500 rsETH sin respaldo, para luego usar ese colateral para pedir prestado aproximadamente 196 millones de dólares en ETH en Aave.
Análisis posteriores de TRM y otros muestran que, si bien el Consejo de Seguridad de Arbitrum congeló aproximadamente 71.5 millones de dólares en ETH descendente, los atacantes rápidamente se movieron para intercambiar los fondos restantes por BTC a través de THORChain e intermediarios chinos, lo que subraya la sofisticación y adaptabilidad de sus operaciones de lavado.
En respuesta, la coalición DeFi United, liderada por Aave, ha recaudado más de 300 millones de dólares en un plan de recuperación para KelpDAO, mientras que la congelación de emergencia de Arbitrum y la rápida formación de grupos de trabajo de recuperación interprotocolos resaltan una creciente voluntad de coordinar medidas defensivas a nivel del ecosistema.
Un artículo reciente de Decrypt y el propio mensaje de Ripple enmarcan la nueva iniciativa de intercambio de datos como un intento de adelantarse a esta evolución en las tácticas, moviendo a la industria de una conciencia fragmentada a una inteligencia compartida y en tiempo real contra lo que la investigadora de seguridad Natalie Newson de CertiK llama “una operación financiera dirigida por el estado que opera a escala y velocidad institucional”.
