Ripple menyalurkan intelijen ancaman terkait Korea Utara ke Crypto ISAC, berharap konteks bersama mengenai agen DPRK dan eksploitasi DeFi dapat meredam gelombang peretasan 2026 yang dipimpin oleh Drift dan KelpDAO.
Ripple mengatakan telah mulai berbagi intelijen ancaman internal mengenai aktivitas peretasan Korea Utara dengan anggota Crypto ISAC, sebuah kolektif siber nirlaba yang berfokus pada sektor aset digital.
Dalam blog bersama, direktur pertumbuhan Crypto ISAC Christina Spring menulis bahwa data tersebut “berkisar dari domain dan dompet yang diketahui terkait dengan penipuan, hingga Indikator Kompromi (IOC) dari kampanye peretasan DPRK yang aktif.”
Dia menekankan bahwa yang membedakan umpan Ripple bukan hanya indikator mentah tetapi “pengayaan kontekstual dari tim keamanan dengan keahlian mendalam tentang aktor ancaman yang memengaruhi ekosistem kripto,” memberikan konteks yang lebih dapat ditindaklanjuti kepada para pembela daripada daftar IOC biasa.
Pengumuman Ripple sendiri di X menyatakan bahwa “postur keamanan terkuat di kripto adalah yang dibagikan bersama,” menambahkan bahwa “aktor ancaman yang gagal pemeriksaan latar belakang di satu perusahaan akan melamar ke tiga perusahaan lain di minggu yang sama. Tanpa intelijen bersama, setiap perusahaan memulai dari nol.”
Intelijen tersebut dilaporkan mencakup profil yang diperkaya dari dugaan pekerja IT Korea Utara yang mencoba menanamkan diri mereka di dalam perusahaan kripto dan fintech, mengikat bersama alamat email, domain, dompet on-chain, dan infrastruktur malware yang digunakan di berbagai kampanye.
Langkah Ripple ini merupakan respons terhadap gelombang serangan terkait DPRK yang telah menargetkan DeFi pada tahun 2026, terutama peretasan pada Drift Protocol berbasis Solana dan platform re-staking KelpDAO.
TRM Labs memperkirakan bahwa kedua insiden itu saja menghasilkan sekitar $577 juta bagi kelompok Korea Utara — $285 juta dari Drift dan sekitar $292 juta dari KelpDAO — menyumbang 76% dari semua nilai peretasan kripto hingga April.
Chainalysis dan TRM mencatat bahwa aktor terkait Korea Utara mencuri lebih dari $2 miliar pada tahun 2025, menjadikan total hasil kumulatif mereka di atas $6,7 miliar, dan bahwa pangsa kerugian peretasan kripto global DPRK naik dari di bawah 10% pada tahun 2020 menjadi 64% pada tahun 2025.
Eksploitasi Drift pada 1 April mengikuti apa yang The Hacker News dan Chainalysis gambarkan sebagai kampanye rekayasa sosial selama enam bulan yang dimulai pada akhir 2025, di mana proksi Korea Utara mengadakan pertemuan tatap muka dengan kontributor Drift dan menggunakan kepercayaan itu untuk meyakinkan penandatangan untuk mengotorisasi penarikan di muka melalui fitur "durable nonce" Solana.
Penyerang kemudian mengeksekusi 31 transaksi yang telah ditandatangani sebelumnya dalam waktu sekitar 12 menit, menguras aset senilai $285 juta sebelum menjembatani sebagian besar dana ke Ethereum; TRM mengatakan ETH yang dicuri sebagian besar tetap tidak aktif, menunjukkan rencana pencucian yang hati-hati dan berjangka panjang.
Eksploitasi KelpDAO pada 18 April menggunakan strategi yang berbeda: aktor terkait DPRK mengkompromikan dua node RPC internal, melakukan DDoS pada node eksternal, dan memasukkan data palsu ke DVN LayerZero Labs untuk mencetak 116.500 rsETH yang tidak didukung, kemudian menggunakan jaminan itu untuk meminjam sekitar $196 juta dalam ETH di Aave.
Analisis selanjutnya dari TRM dan lainnya menunjukkan bahwa sementara Dewan Keamanan Arbitrum membekukan sekitar $71,5 juta dalam ETH hilir, para penyerang dengan cepat beralih untuk menukar sisa dana menjadi BTC melalui THORChain dan perantara Tiongkok, menggarisbawahi kecanggihan dan adaptabilitas operasi pencucian mereka.
Sebagai tanggapan, koalisi yang dipimpin Aave, DeFi United, telah mengumpulkan lebih dari $300 juta dalam rencana pemulihan untuk KelpDAO, sementara pembekuan darurat Arbitrum dan pembentukan cepat satuan tugas pemulihan lintas protokol menyoroti meningkatnya kemauan untuk mengkoordinasikan tindakan defensif di tingkat ekosistem.
Fitur Decrypt terbaru dan pesan Ripple sendiri membingkai inisiatif berbagi data baru sebagai upaya untuk mengantisipasi evolusi taktik ini — memindahkan industri dari kesadaran yang terfragmentasi menjadi intelijen bersama, waktu nyata, melawan apa yang peneliti keamanan Natalie Newson di CertiK sebut sebagai “operasi keuangan yang diarahkan negara yang berjalan pada skala dan kecepatan institusional.”
