Ipinapakain ng Ripple ang impormasyon sa banta na may kaugnayan sa North Korea sa Crypto ISAC, umaasang ang ibinahaging konteksto tungkol sa mga operatiba ng DPRK at mga DeFi exploit ay makakapigil sa isang hack wave ng 2026 na pinangunahan ng Drift at KelpDAO.
Sinabi ng Ripple na sinimulan na nitong ibahagi ang panloob na impormasyon sa banta tungkol sa aktibidad ng pag-hack ng North Korea sa mga miyembro ng Crypto ISAC, isang non-profit na cyber collective na nakatuon sa sektor ng digital asset.
Sa isang joint blog, isinulat ng growth director ng Crypto ISAC na si Christina Spring na ang data “ay mula sa mga domain at wallet na alam na nauugnay sa pandaraya, hanggang sa Indicators of Compromise (IOCs) mula sa aktibong kampanya ng hack ng DPRK.”
Binigyang-diin niya na ang nagpapaiba sa mga feed ng Ripple ay hindi lamang ang mga raw indicator kundi ang “contextual enrichment mula sa isang security team na may malalim na kaalaman sa mga threat actor na nakakaapekto sa crypto ecosystem,” na nagbibigay sa mga tagapagtanggol ng mas actionable na konteksto kaysa sa isang tipikal na listahan ng IOC.
Ang sariling anunsyo ng Ripple sa X ay nagtalo na “ang pinakamatibay na seguridad sa crypto ay ang ibinahagi,” idinagdag na “ang isang threat actor na bumagsak sa background check sa isang kumpanya ay mag-a-apply sa tatlo pa sa parehong linggo. Kung walang ibinahaging impormasyon, bawat kumpanya ay nagsisimula sa zero.”
Ang impormasyon ay iniulat na naglalaman ng pinayaman na mga profile ng mga pinaghihinalaang manggagawa ng IT ng North Korea na sumusubok na ilagay ang kanilang sarili sa loob ng mga kumpanya ng crypto at fintech, na pinagsasama-sama ang mga email address, domain, on-chain wallet, at imprastraktura ng malware na ginamit sa iba't ibang kampanya.
Ang hakbang ng Ripple ay tugon sa isang wave ng mga pag-atake na may kaugnayan sa DPRK na nag-target ng DeFi noong 2026, lalo na ang mga hack sa Solana-based na Drift Protocol at re-staking platform na KelpDAO.
Tinataya ng TRM Labs na ang dalawang insidenteng iyon lamang ay nagbigay sa mga grupong North Korean ng humigit-kumulang $577 milyon—$285 milyon mula sa Drift at humigit-kumulang $292 milyon mula sa KelpDAO—na bumubuo ng 76% ng lahat ng halaga ng crypto hack hanggang Abril.
Nabanggit ng Chainalysis at TRM na ang mga aktor na may kaugnayan sa North Korea ay nagnakaw ng higit sa $2 bilyon noong 2025, na nagdala sa kanilang kabuuang nakulimbat sa mahigit $6.7 bilyon, at ang bahagi ng DPRK sa mga global crypto hack loss ay tumaas mula sa wala pang 10% noong 2020 patungo sa 64% pagdating ng 2025.
Ang Drift exploit noong Abril 1 ay sumunod sa inilarawan ng The Hacker News at Chainalysis bilang isang anim na buwang social engineering campaign na nagsimula noong huling bahagi ng 2025, kung saan ang mga proxy ng North Korea ay nagsagawa ng personal na pagpupulong sa mga kontribyutor ng Drift at ginamit ang tiwalang iyon upang hikayatin ang mga signer na paunang pahintulutan ang mga withdrawal sa pamamagitan ng “durable nonce” feature ng Solana.
Pagkatapos ay isinagawa ng mga umaatake ang 31 paunang nilagdaang transaksyon sa loob ng humigit-kumulang 12 minuto, na nag-drain ng $285 milyon sa mga asset bago ilipat ang karamihan ng mga pondo sa Ethereum; sinabi ng TRM na ang ninakaw na ETH ay nanatiling dormant, na nagpapahiwatig ng isang maingat, pangmatagalang plano sa paglilinis ng pera.
Ang KelpDAO exploit noong Abril 18 ay gumamit ng ibang playbook: kinompromiso ng mga aktor na may kaugnayan sa DPRK ang dalawang internal RPC node, DDoS’d ang mga external node, at nagpakain ng maling data sa DVN ng LayerZero Labs upang mag-mint ng 116,500 unbacked rsETH, pagkatapos ay ginamit ang collateral na iyon upang manghiram ng humigit-kumulang $196 milyon sa ETH sa Aave.
Ang kasunod na pagsusuri mula sa TRM at iba pa ay nagpapakita na habang pinatigil ng Arbitrum Security Council ang humigit-kumulang $71.5 milyon sa downstream ETH, mabilis na lumipat ang mga umaatake upang ipagpalit ang natitirang pondo sa BTC sa pamamagitan ng THORChain at mga Chinese intermediary, na nagpapahiwatig ng sopistikasyon at kakayahang umangkop ng kanilang mga operasyon sa paglilinis ng pera.
Bilang tugon, ang koalisyon na pinamunuan ng Aave na DeFi United ay nakalikom ng higit sa $300 milyon para sa isang recovery plan para sa KelpDAO, habang ang emergency freeze ng Arbitrum at ang mabilis na pagbuo ng cross‑protocol recovery task forces ay nagpapakita ng lumalaking pagpayag na i-coordinate ang mga panlaban sa antas ng ecosystem.
Ang isang kamakailang feature ng Decrypt at ang sariling mensahe ng Ripple ay nagbibigay-balangkas sa bagong inisyatibo sa pagbabahagi ng data bilang isang pagtatangka na maunahan ang ebolusyon na ito sa mga taktika—inililipat ang industriya mula sa pira-pirasong kamalayan patungo sa ibinahagi, real‑time na impormasyon laban sa tinatawag ng security researcher na si Natalie Newson sa CertiK na “isang operasyong pinansyal na pinamamahalaan ng estado na tumatakbo sa institutional na antas at bilis.”
