ریپل در حال ارائه اطلاعات تهدید مرتبط با کره شمالی به کریپتو ایزاک (Crypto ISAC) است، به این امید که با به اشتراک گذاشتن اطلاعاتی در مورد عوامل عملیاتی DPRK و اکسپلویتهای دیفای، بتواند موج حملات هکری سال 2026 به رهبری دریفت (Drift) و کلپدائو (KelpDAO) را خنثی کند.
ریپل اعلام کرد که اشتراکگذاری اطلاعات تهدید داخلی خود در مورد فعالیتهای هک کره شمالی را با اعضای Crypto ISAC، یک گروه سایبری غیرانتفاعی متمرکز بر بخش داراییهای دیجیتال، آغاز کرده است.
در یک پست وبلاگی مشترک، مدیر توسعه Crypto ISAC، کریستینا اسپرینگ، نوشت که این دادهها "از دامنهها و کیفپولهای مرتبط با کلاهبرداری تا شاخصهای سازش (IOCs) از کمپینهای فعال هک DPRK را شامل میشود."
او تأکید کرد که آنچه خوراکهای ریپل را متمایز میکند، تنها شاخصهای خام نیست، بلکه "غنیسازی متنی از سوی یک تیم امنیتی با تخصص عمیق در مورد عوامل تهدیدکننده اکوسیستم کریپتو" است که به مدافعان، زمینهای عملیتر از یک لیست IOC معمولی میدهد.
اعلامیه خود ریپل در X استدلال کرد که "قویترین وضعیت امنیتی در کریپتو یک وضعیت مشترک است" و افزود که "یک عامل تهدید که در یک شرکت از بررسی سوابق رد میشود، در همان هفته به سه شرکت دیگر درخواست میدهد. بدون اطلاعات مشترک، هر شرکت از صفر شروع میکند."
طبق گزارشها، این اطلاعات شامل پروفایلهای غنیشده از کارمندان IT مظنون کره شمالی است که تلاش میکنند خود را در شرکتهای کریپتو و فینتک جا بیندازند و آدرسهای ایمیل، دامنهها، کیفپولهای روی زنجیره (on-chain wallets) و زیرساخت بدافزاری مورد استفاده در چندین کمپین را به هم متصل میکند.
اقدام ریپل در پاسخ به موجی از حملات مرتبط با DPRK است که دیفای (DeFi) را در سال 2026 هدف قرار دادهاند، به ویژه هکهای پروتکل دریفت (Drift Protocol) مبتنی بر سولانا و پلتفرم ریاستیکینگ کلپدائو (KelpDAO).
TRM Labs تخمین میزند که این دو حادثه به تنهایی حدود 577 میلیون دلار برای گروههای کره شمالی به ارمغان آورده است – 285 میلیون دلار از دریفت و تقریباً 292 میلیون دلار از کلپدائو – که 76 درصد از کل ارزش هکهای کریپتو تا آوریل را شامل میشود.
چینالایسیس (Chainalysis) و TRM اشاره میکنند که عوامل مرتبط با کره شمالی در سال 2025 بیش از 2 میلیارد دلار سرقت کردهاند، که مجموع دزدیهای آنها را به بیش از 6.7 میلیارد دلار میرساند، و سهم DPRK از زیانهای جهانی هک کریپتو از کمتر از 10 درصد در سال 2020 به 64 درصد تا سال 2025 افزایش یافته است.
اکسپلویت دریفت در 1 آوریل پس از آنچه هکر نیوز (The Hacker News) و چینالایسیس به عنوان یک کمپین مهندسی اجتماعی شش ماهه که در اواخر سال 2025 آغاز شد، توصیف کردند، اتفاق افتاد. طی این کمپین، واسطههای کره شمالی با مشارکتکنندگان دریفت دیدارهای حضوری داشتند و از این اعتماد برای متقاعد کردن امضاکنندگان به پیشمجوز برداشتها از طریق ویژگی "durable nonce" سولانا استفاده کردند.
سپس مهاجمان 31 تراکنش پیشامضا شده را در حدود 12 دقیقه اجرا کردند و 285 میلیون دلار دارایی را تخلیه کردند و اکثر وجوه را به اتریوم پل (bridge) زدند؛ TRM میگوید که ETH دزدیدهشده تا حد زیادی راکد باقی مانده است، که نشاندهنده یک برنامه پولشویی محتاطانه و بلندمدت است.
اکسپلویت کلپدائو در 18 آوریل از یک روش متفاوت استفاده کرد: عوامل مرتبط با DPRK دو گره RPC داخلی را به خطر انداختند، گرههای خارجی را DDoS کردند و دادههای غلط را به DVN لایرزیرو لبز (LayerZero Labs) وارد کردند تا 116,500 واحد rsETH بدون پشتوانه را استخراج (mint) کنند، سپس از آن وثیقه برای وام گرفتن حدود 196 میلیون دلار ETH در Aave استفاده کردند.
تجزیه و تحلیلهای بعدی TRM و دیگران نشان میدهد که در حالی که شورای امنیتی آربیتروم (Arbitrum) تقریباً 71.5 میلیون دلار ETH پاییندستی را مسدود کرد، مهاجمان به سرعت برای مبادله وجوه باقیمانده به BTC از طریق THORChain و واسطههای چینی تغییر مسیر دادند، که پیچیدگی و سازگاری عملیات پولشویی آنها را نشان میدهد.
در پاسخ، ائتلاف DeFi United به رهبری Aave، بیش از 300 میلیون دلار در یک برنامه بازیابی برای KelpDAO جمعآوری کرده است، در حالی که مسدودسازی اضطراری آربیتروم و تشکیل سریع گروههای کاری بازیابی بین پروتکلی، تمایل رو به رشد برای هماهنگی اقدامات دفاعی در سطح اکوسیستم را برجسته میکند.
یک گزارش اخیر دکریپت (Decrypt) و پیامرسانی خود ریپل، این طرح جدید اشتراکگذاری داده را تلاشی برای پیشی گرفتن از این تکامل در تاکتیکها میدانند – که صنعت را از آگاهی پراکنده به اطلاعات مشترک و بلادرنگ در برابر آنچه محقق امنیتی ناتالی نیوسون در سرتیک (CertiK) "یک عملیات مالی هدایت شده توسط دولت که در مقیاس و سرعت سازمانی اجرا میشود" مینامد، سوق میدهد.
