Ripple正在將與北韓相關的威脅情報輸入Crypto ISAC,希望透過分享關於北韓操作人員和DeFi漏洞的情報,能夠遏止由Drift和KelpDAO主導的2026年駭客攻擊浪潮。
Ripple表示,已開始與專注於數位資產領域的非營利網路組織Crypto ISAC的成員分享關於北韓駭客活動的內部威脅情報。
在一篇聯合部落格文章中,Crypto ISAC成長總監Christina Spring寫道,這些數據「涵蓋了已知與詐欺相關的網域和錢包,到來自活躍北韓駭客行動的入侵指標(IOCs)。」
她強調,Ripple情報流的獨特之處不僅在於原始指標,更在於「來自對影響加密生態系的威脅行為者具有深厚專業知識的安全團隊所提供的背景豐富化」,這為防禦者提供了比一般入侵指標列表更具行動意義的上下文資訊。
Ripple自己在X上的公告指出,「加密領域最強大的安全態勢是共享的」,並補充說「一個在一家公司背景調查中被拒絕的威脅行為者,同週將會向另外三家公司申請。如果沒有共享情報,每家公司都必須從零開始。」
據報導,這些情報包括了可疑北韓IT工作者的豐富資料,他們試圖滲透加密和金融科技公司,將電子郵件地址、網域、鏈上錢包以及在多個攻擊活動中使用的惡意軟體基礎設施聯繫起來。
Ripple此舉是為了應對2026年針對DeFi的一波與北韓相關的攻擊,其中最引人注目的是對基於Solana的Drift Protocol和再質押平台KelpDAO的駭客攻擊。
TRM Labs估計,僅這兩起事件就讓北韓團體獲利約5.77億美元——其中2.85億美元來自Drift,約2.92億美元來自KelpDAO——佔截至四月所有加密貨幣駭客竊取總值的76%。
Chainalysis和TRM指出,與北韓相關的行為者在2025年竊取了超過20億美元,使其累計贓款超過67億美元,而且北韓在全球加密貨幣駭客損失中的佔比從2020年的不到10%上升到2025年的64%。
4月1日的Drift漏洞利用攻擊,是繼The Hacker News和Chainalysis所描述的一項為期六個月、始於2025年末的社會工程攻擊活動之後發生的,期間北韓代理人與Drift貢獻者進行了面對面會議,並利用這種信任說服簽署者透過Solana的「持久性隨機數(durable nonce)」功能預授權提款。
攻擊者隨後在大約12分鐘內執行了31筆預簽名交易,盜取了2.85億美元資產,然後將大部分資金橋接到以太坊;TRM表示,被盜的ETH大部分仍處於閒置狀態,這表明他們採取了謹慎、長期規劃的洗錢策略。
4月18日的KelpDAO漏洞利用採用了不同的策略:與北韓相關的行為者入侵了兩個內部RPC節點,對外部節點進行DDoS攻擊,並向LayerZero Labs的DVN輸入虛假數據以鑄造116,500枚無抵押的rsETH,隨後利用這些抵押品在Aave上借入約1.96億美元的ETH。
TRM及其他機構的後續分析顯示,雖然Arbitrum安全委員會凍結了約7150萬美元的下游ETH,但攻擊者迅速轉移,透過THORChain和中國中介機構將剩餘資金兌換成BTC,這突顯了他們洗錢操作的複雜性和適應性。
作為回應,由Aave牽頭的DeFi United聯盟已為KelpDAO的復原計畫籌集了超過3億美元,而Arbitrum的緊急凍結以及跨協議復原工作組的迅速組建,則突顯了在生態系統層面協調防禦措施的意願日益增強。
Decrypt最近的一篇專題報導以及Ripple本身的訊息傳達,將這項新的數據共享倡議視為試圖領先於這種戰術演變的努力——將業界從零散的認知轉變為共享的實時情報,以對抗CertiK安全研究員Natalie Newson所稱的「一項以機構規模和速度運作的國家主導金融行動。」
