ریپل پس از ۵۷۷ میلیون دلار هک DeFi، اطلاعات هکرهای کره شمالی را با صنعت کریپتو به اشتراک می‌گذارد

ریپل اطلاعات تهدیدات مرتبط با کره شمالی را به Crypto ISAC ارائه می‌دهد و امیدوار است که اشتراک‌گذاری اطلاعات درباره عوامل کره شمالی و اکسپلویت‌های دیفای بتواند موج هک ۲۰۲۶ به رهبری Drift و KelpDAO را کاهش دهد.

ریپل اعلام کرد که شروع به اشتراک‌گذاری اطلاعات تهدیدات داخلی درباره فعالیت‌های هک کره شمالی با اعضای Crypto ISAC، یک مجموعه سایبری غیرانتفاعی متمرکز بر بخش دارایی‌های دیجیتال، کرده است.

در یک وبلاگ مشترک، کریستینا اسپرینگ، مدیر رشد Crypto ISAC، نوشت که داده‌ها «از دامنه‌ها و کیف پول‌هایی که به تقلب مرتبط هستند، تا شاخص‌های نفوذ (IOCs) از کمپین‌های فعال هک کره شمالی را شامل می‌شوند.»

فیدهای تهدیدات ریپل به Crypto ISAC می‌رسند

او تأکید کرد که آنچه فیدهای ریپل را متمایز می‌کند نه تنها شاخص‌های خام، بلکه «غنی‌سازی متنی از یک تیم امنیتی با تخصص عمیق در عوامل تهدید که اکوسیستم کریپتو را تحت تأثیر قرار می‌دهند» است که به مدافعان زمینه عملیاتی بیشتری نسبت به یک لیست معمولی IOC می‌دهد.

اعلامیه خود ریپل در X استدلال کرد که «قوی‌ترین وضعیت امنیتی در کریپتو، یک وضعیت مشترک است» و افزود که «یک عامل تهدید که در بررسی سوابق یک شرکت رد می‌شود، همان هفته در سه شرکت دیگر درخواست می‌دهد. بدون اطلاعات مشترک، هر شرکت از صفر شروع می‌کند.»

گزارش‌ها حاکی است که اطلاعات شامل پروفایل‌های غنی‌شده از کارگران مشکوک IT کره شمالی است که تلاش می‌کنند خود را در شرکت‌های کریپتو و فین‌تک جای دهند و آدرس‌های ایمیل، دامنه‌ها، کیف پول‌های آن‌چین و زیرساخت بدافزار استفاده‌شده در کمپین‌های متعدد را به هم مرتبط می‌کند.

Drift و KelpDAO نشان‌دهنده تغییر به سمت مهندسی اجتماعی هستند

اقدام ریپل در پاسخ به موجی از حملات مرتبط با کره شمالی است که در سال ۲۰۲۶ دیفای را هدف قرار داده‌اند، به‌ویژه هک‌های Drift Protocol مبتنی بر سولانا و پلتفرم ری‌استیکینگ KelpDAO.

TRM Labs تخمین می‌زند که تنها این دو حادثه حدود ۵۷۷ میلیون دلار برای گروه‌های کره شمالی به ارمغان آورد—۲۸۵ میلیون دلار از Drift و تقریباً ۲۹۲ میلیون دلار از KelpDAO—که ۷۶٪ از کل ارزش هک ارز دیجیتال تا آوریل را تشکیل می‌دهد.

Chainalysis و TRM خاطرنشان می‌کنند که عوامل مرتبط با کره شمالی در سال ۲۰۲۵ بیش از ۲ میلیارد دلار سرقت کردند و مجموع غنائم آن‌ها را به بیش از ۶.۷ میلیارد دلار رساندند، و سهم کره شمالی از خسارات جهانی هک ارز دیجیتال از زیر ۱۰٪ در سال ۲۰۲۰ به ۶۴٪ تا سال ۲۰۲۵ افزایش یافت.

اکسپلویت اول آوریل Drift از آنچه The Hacker News و Chainalysis به عنوان یک کمپین مهندسی اجتماعی شش‌ماهه توصیف می‌کنند که در اواخر ۲۰۲۵ آغاز شد، پیروی کرد؛ در طی آن، نمایندگان کره شمالی جلسات حضوری با مشارکت‌کنندگان Drift داشتند و از اعتماد ایجادشده برای متقاعد کردن امضاکنندگان استفاده کردند تا از طریق ویژگی «durable nonce» سولانا، برداشت‌ها را از پیش مجاز کنند.

سپس مهاجمان ۳۱ تراکنش از پیش امضاشده را در حدود ۱۲ دقیقه اجرا کردند و ۲۸۵ میلیون دلار دارایی را تخلیه کردند و اکثر وجوه را به اتریوم منتقل کردند؛ TRM می‌گوید ETH سرقت‌شده عمدتاً راکد مانده است که نشان‌دهنده یک برنامه پول‌شویی محتاطانه با افق بلندمدت است.

اکسپلویت ۱۸ آوریل KelpDAO از یک دستورالعمل متفاوت استفاده کرد: عوامل مرتبط با کره شمالی دو نود RPC داخلی را به خطر انداختند، نودهای خارجی را DDoS کردند و داده‌های نادرست را به DVN LayerZero Labs تزریق کردند تا ۱۱۶,۵۰۰ واحد rsETH بدون پشتوانه ضرب کنند، سپس از آن وثیقه برای قرض گرفتن حدود ۱۹۶ میلیون دلار ETH در Aave استفاده کردند.

تحلیل‌های بعدی TRM و دیگران نشان می‌دهد که در حالی که شورای امنیت آربیتروم تقریباً ۷۱.۵ میلیون دلار ETH در جریان پایین‌دستی را مسدود کرد، مهاجمان به سرعت برای تبادل وجوه باقیمانده به BTC از طریق THORChain و واسطه‌های چینی تغییر رویکرد دادند که پیچیدگی و انعطاف‌پذیری عملیات پول‌شویی آن‌ها را برجسته می‌کند.

در پاسخ، ائتلاف DeFi United به رهبری Aave بیش از ۳۰۰ میلیون دلار در یک برنامه بازیابی برای KelpDAO جمع‌آوری کرده است، در حالی که مسدودسازی اضطراری آربیتروم و تشکیل سریع گروه‌های کاری بازیابی بین پروتکلی نشان‌دهنده تمایل فزاینده به هماهنگی اقدامات دفاعی در سطح اکوسیستم است.

یک گزارش اخیر Decrypt و پیام‌رسانی خود ریپل، ابتکار جدید اشتراک‌گذاری داده را به عنوان تلاشی برای پیشی گرفتن از این تحول در تاکتیک‌ها معرفی می‌کنند—حرکت صنعت از آگاهی پراکنده به اطلاعات مشترک بلادرنگ در برابر آنچه محقق امنیتی ناتالی نیوسون در CertiK آن را «یک عملیات مالی دولت‌محور که در مقیاس و سرعت نهادی اجرا می‌شود» می‌نامد.