Ripple hiện đang chia sẻ thông tin tình báo về mối đe dọa nội bộ liên quan đến tin tặc Triều Tiên với ngành công nghiệp tiền điện tử thông qua Crypto ISAC, công ty đã thông báo vào thứ Hai, lập luận rằng, “tư thế bảo mật mạnh nhất trong crypto là một tư thế được chia sẻ.”
Christina Spring, Giám đốc Tăng trưởng tại tổ chức an ninh mạng phi lợi nhuận Crypto ISAC, đã viết trong một bài đăng blog thông báo tin tức rằng dữ liệu được Ripple chia sẻ, “bao gồm từ các tên miền và ví được biết là có liên quan đến lừa đảo, đến các Chỉ số Vi phạm (IOC) từ các chiến dịch tấn công của DPRK đang hoạt động.”
Tư thế bảo mật mạnh nhất trong crypto là một tư thế được chia sẻ.
Một tác nhân đe dọa bị trượt kiểm tra lý lịch tại một công ty sẽ nộp đơn vào ba công ty khác trong cùng tuần đó. Nếu không có thông tin tình báo chung, mọi công ty đều phải bắt đầu lại từ đầu.
Ripple hiện đang đóng góp thông tin tình báo độc quyền về mối đe dọa của DPRK… https://t.co/ZiXD25iOBx
— Ripple (@Ripple) 4 tháng 5, 2026
Thông tin tình báo về mối đe dọa của Ripple bao gồm hồ sơ được làm giàu của các công nhân IT Triều Tiên bị nghi ngờ đang cố gắng cài cắm vào các công ty tiền điện tử, bao gồm tên miền, ví và các chỉ số vi phạm.
“Điều khiến điều này khác biệt so với nguồn cấp dữ liệu mối đe dọa thông thường không chỉ là dữ liệu, mà còn là sự làm giàu ngữ cảnh từ một đội ngũ bảo mật với chuyên môn sâu về các tác nhân đe dọa ảnh hưởng đến hệ sinh thái tiền điện tử,” Spring nói thêm.
Việc chia sẻ thông tin tình báo diễn ra khi các đặc vụ Triều Tiên thay đổi chiến thuật từ các khai thác kỹ thuật nhanh chóng sang các chiến dịch kỹ thuật xã hội kiên nhẫn. Trong vụ tấn công Drift, những kẻ tấn công đã dành nhiều tháng để kết bạn với những người đóng góp của nền tảng trước khi cài mã độc vào máy của họ và đánh cắp khóa.
Những kẻ tấn công KelpDAO đã sử dụng một phương pháp khác, xâm nhập hai nút RPC nội bộ và khởi động các cuộc tấn công DDoS chống lại các nút bên ngoài để cung cấp dữ liệu sai cho LayerZero Labs DVN. Chỉ một “số ít các sự cố được quy kết” bao gồm các vụ tấn công KelpDAO và Drift đã chiếm 76% tổng giá trị tiền điện tử bị tấn công vào năm 2026 tính đến tháng 4, theo công ty tình báo blockchain TRM Labs.
Các chuyên gia bảo mật cảnh báo rằng các cuộc tấn công tiền điện tử gần đây của Triều Tiên đại diện cho một sự thay đổi cơ bản trong mô hình mối đe dọa trên toàn bộ không gian tiền điện tử. Natalie Newson, nhà nghiên cứu bảo mật blockchain cấp cao tại CertiK, tháng trước đã lưu ý rằng mức độ hoạt động gia tăng của Lazarus Group đang gây lo ngại trong ngành. “KelpDAO, Drift, và bây giờ là một bộ mã độc macOS mới, tất cả chỉ trong cùng một tháng,” cô nói, và thêm rằng, “Đây không phải là hành vi hack ngẫu nhiên; đây là một hoạt động tài chính do nhà nước chỉ đạo, hoạt động ở quy mô và tốc độ điển hình của các tổ chức.”
Mức độ nghiêm trọng của các cuộc tấn công vào tháng 4 đã kích hoạt phản ứng ngay lập tức từ ngành. Hội đồng Bảo mật Arbitrum đã đóng băng hơn 30.000 ETH của số tiền bị chuyển đi của kẻ tấn công sau vụ khai thác KelpDAO vào ngày 20 tháng 4, cho thấy khả năng ngày càng tăng của hệ sinh thái trong việc phối hợp các biện pháp phòng thủ.
Tuy nhiên, phản ứng này đã gây ra một số tranh cãi trong cộng đồng DeFi, khi Aave hôm qua đã đệ trình một bản ghi nhớ lên tòa án liên bang yêu cầu giải tỏa 71 triệu USD tiền bị Arbitrum đóng băng, lập luận rằng số tiền đó thuộc về người dùng của họ chứ không phải tin tặc.
Sáng kiến chia sẻ thông tin tình báo phản ánh một sự chuyển dịch rộng lớn hơn trong ngành hướng tới các biện pháp bảo mật hợp tác, Justine Bone, Giám đốc Điều hành của Crypto ISAC, cho biết. “Trong một thời gian dài, việc chia sẻ thông tin được coi là tùy chọn. Ngày nay, đó là tiêu chuẩn vàng cho bảo mật,” Bone lưu ý, gọi sự hợp tác của Ripple là “bằng chứng khái niệm rõ ràng nhất.”
