Ripple deelt dreigingsinformatie gerelateerd aan Noord-Korea met Crypto ISAC, in de hoop dat gedeelde context over DPRK-operatives en DeFi-exploits een golf van hacks in 2026, geleid door Drift en KelpDAO, kan afzwakken.
Ripple heeft aangegeven interne dreigingsinformatie over Noord-Koreaanse hackingactiviteit te zijn begonnen met delen met leden van Crypto ISAC, een non-profit cybercollectief gericht op de digitale activasector.
In een gezamenlijke blog schreef Christina Spring, directeur groei van Crypto ISAC, dat de gegevens "variëren van domeinen en wallets die bekend staan als geassocieerd met fraude, tot Indicators of Compromise (IOC's) van actieve DPRK-hackcampagnes."
Ze benadrukte dat wat de feeds van Ripple onderscheidt, niet alleen ruwe indicatoren zijn, maar "contextuele verrijking van een beveiligingsteam met diepgaande expertise over de dreigingsactoren die het crypto-ecosysteem beïnvloeden," wat verdedigers meer bruikbare context biedt dan een typische IOC-lijst.
De eigen aankondiging van Ripple op X stelde dat "de sterkste beveiligingshouding in crypto een gedeelde is," eraan toevoegend dat "een dreigingsactor die een achtergrondcheck bij het ene bedrijf niet doorstaat, diezelfde week bij drie andere zal solliciteren. Zonder gedeelde intelligentie begint elk bedrijf vanaf nul."
De intelligentie omvat naar verluidt verrijkte profielen van verdachte Noord-Koreaanse IT-medewerkers die proberen zich in crypto- en fintech-bedrijven te nestelen, waarbij e-mailadressen, domeinen, on-chain wallets en malware-infrastructuur die in meerdere campagnes wordt gebruikt, aan elkaar worden gekoppeld.
De stap van Ripple komt als reactie op een golf van DPRK-gerelateerde aanvallen die in 2026 gericht zijn geweest op DeFi, met name de hacks op het Solana-gebaseerde Drift Protocol en het re-stakingplatform KelpDAO.
TRM Labs schat dat deze twee incidenten alleen al Noord-Koreaanse groepen ongeveer $577 miljoen hebben opgeleverd — $285 miljoen van Drift en ruwweg $292 miljoen van KelpDAO — wat neerkomt op 76% van alle crypto hackwaarde tot en met april.
Chainalysis en TRM merken op dat Noord-Korea-gerelateerde actoren in 2025 meer dan $2 miljard hebben gestolen, waardoor hun cumulatieve buit boven de $6,7 miljard uitkomt, en dat het aandeel van DPRK in de wereldwijde crypto hackverliezen steeg van minder dan 10% in 2020 naar 64% in 2025.
De Drift-exploit van 1 april volgde op wat The Hacker News en Chainalysis beschrijven als een zes maanden durende social engineering-campagne die eind 2025 begon, waarbij Noord-Koreaanse proxy's persoonlijke ontmoetingen hadden met Drift-contributors en dat vertrouwen gebruikten om ondertekenaars te overtuigen om opnames vooraf te autoriseren via Solana's "durable nonce"-functie.
Aanvallers voerden vervolgens 31 vooraf ondertekende transacties uit in ongeveer 12 minuten, waarbij $285 miljoen aan activa werd leeggezogen voordat het grootste deel van de fondsen naar Ethereum werd overbrugd; TRM zegt dat de gestolen ETH grotendeels inactief is gebleven, wat duidt op een voorzichtig, langetermijn witwasplan.
De KelpDAO-exploit van 18 april gebruikte een ander draaiboek: DPRK-gerelateerde actoren compromitteerden twee interne RPC-nodes, voerden een DDoS-aanval uit op externe nodes, en voerden valse gegevens in LayerZero Labs' DVN in om 116.500 ongedekte rsETH te minten, waarna ze die onderpand gebruikten om ongeveer $196 miljoen aan ETH te lenen op Aave.
Vervolganalyse van TRM en anderen toont aan dat, hoewel de Arbitrum Security Council ongeveer $71,5 miljoen aan downstream ETH bevroor, de aanvallers snel overgingen tot het omwisselen van de resterende fondsen naar BTC via THORChain en Chinese tussenpersonen, wat de verfijning en het aanpassingsvermogen van hun witwasoperaties onderstreept.
Als reactie heeft de door Aave geleide coalitie DeFi United meer dan $300 miljoen opgehaald in een herstelplan voor KelpDAO, terwijl Arbitrums noodbevriezing en de snelle vorming van protocol-overschrijdende herstelwerkgroepen een groeiende bereidheid benadrukken om defensieve maatregelen op ecosysteemniveau te coördineren.
Een recent artikel van Decrypt en de eigen communicatie van Ripple kaderen het nieuwe initiatief voor gegevensuitwisseling als een poging om deze evolutie in tactieken voor te zijn — de sector van gefragmenteerde bewustzijn naar gedeelde, real-time intelligentie te bewegen tegen wat beveiligingsonderzoeker Natalie Newson van CertiK een "door de staat gestuurde financiële operatie op institutionele schaal en snelheid" noemt.
