Ripple intègre des renseignements sur les menaces liées à la Corée du Nord dans Crypto ISAC, espérant que le contexte partagé sur les agents de la RPDC et les exploits DeFi pourra atténuer une vague de piratage en 2026 menée par Drift et KelpDAO.
Ripple a déclaré avoir commencé à partager des renseignements internes sur les menaces liées aux activités de piratage nord-coréennes avec les membres de Crypto ISAC, un collectif cybernétique à but non lucratif axé sur le secteur des actifs numériques.
Dans un blogue commun, Christina Spring, directrice du développement de Crypto ISAC, a écrit que les données "vont des domaines et portefeuilles connus pour être associés à la fraude, aux Indicateurs de Compromission (IOC) issus de campagnes de piratage actives de la RPDC."
Elle a souligné que ce qui différencie les flux de Ripple n'est pas seulement des indicateurs bruts, mais "un enrichissement contextuel provenant d'une équipe de sécurité possédant une expertise approfondie des acteurs de la menace impactant l'écosystème crypto," offrant aux défenseurs un contexte plus exploitable qu'une liste d'IOC typique.
L'annonce de Ripple sur X a soutenu que "la posture de sécurité la plus robuste en matière de crypto est une posture partagée," ajoutant qu'"un acteur de la menace qui échoue à une vérification des antécédents dans une entreprise postulera dans trois autres la même semaine. Sans renseignement partagé, chaque entreprise repart de zéro."
Les renseignements incluent des profils enrichis de travailleurs informatiques nord-coréens présumés tentant de s'intégrer au sein d'entreprises de crypto et de fintech, liant adresses e-mail, domaines, portefeuilles on-chain et infrastructures de logiciels malveillants utilisés dans de multiples campagnes.
La démarche de Ripple intervient en réponse à une vague d'attaques liées à la RPDC qui ont ciblé la DeFi en 2026, notamment les piratages sur le protocole Drift basé sur Solana et la plateforme de re-staking KelpDAO.
TRM Labs estime que ces deux incidents ont à eux seuls rapporté aux groupes nord-coréens environ 577 millions de dollars — 285 millions de dollars de Drift et environ 292 millions de dollars de KelpDAO — représentant 76% de la valeur totale des piratages crypto jusqu'en avril.
Chainalysis et TRM notent que les acteurs liés à la Corée du Nord ont volé plus de 2 milliards de dollars en 2025, portant leur butin cumulé à plus de 6,7 milliards de dollars, et que la part de la RPDC dans les pertes mondiales de piratage crypto est passée de moins de 10% en 2020 à 64% en 2025.
L'exploit de Drift du 1er avril a fait suite à ce que The Hacker News et Chainalysis décrivent comme une campagne d'ingénierie sociale de six mois qui a commencé fin 2025, au cours de laquelle des proxys nord-coréens ont tenu des réunions en personne avec des contributeurs de Drift et ont utilisé cette confiance pour convaincre les signataires de pré-autoriser des retraits via la fonctionnalité "nonce durable" de Solana.
Les attaquants ont ensuite exécuté 31 transactions pré-signées en environ 12 minutes, siphonnant 285 millions de dollars d'actifs avant de transférer la majeure partie des fonds vers Ethereum ; TRM indique que l'ETH volé est en grande partie resté dormant, ce qui suggère un plan de blanchiment prudent et à long terme.
L'exploit de KelpDAO du 18 avril a utilisé une stratégie différente : des acteurs liés à la RPDC ont compromis deux nœuds RPC internes, attaqué par DDoS les nœuds externes, et injecté des données fausses dans le DVN de LayerZero Labs pour créer 116 500 rsETH non garantis, puis ont utilisé ce collatéral pour emprunter environ 196 millions de dollars en ETH sur Aave.
Une analyse subséquente de TRM et d'autres montre que, bien que le Conseil de sécurité d'Arbitrum ait gelé environ 71,5 millions de dollars d'ETH en aval, les attaquants ont rapidement pivoté pour échanger les fonds restants en BTC via THORChain et des intermédiaires chinois, soulignant la sophistication et l'adaptabilité de leurs opérations de blanchiment.
En réponse, la coalition DeFi United, menée par Aave, a levé plus de 300 millions de dollars dans un plan de récupération pour KelpDAO, tandis que le gel d'urgence d'Arbitrum et la formation rapide de groupes de travail de récupération inter-protocoles mettent en évidence une volonté croissante de coordonner les mesures défensives au niveau de l'écosystème.
Un article récent de Decrypt et les messages de Ripple cadrent cette nouvelle initiative de partage de données comme une tentative de prendre de l'avance sur cette évolution des tactiques — faisant passer l'industrie d'une sensibilisation fragmentée à des renseignements partagés en temps réel contre ce que la chercheuse en sécurité Natalie Newson de CertiK appelle "une opération financière dirigée par un État, menée à l'échelle et à la vitesse institutionnelles."
