Ripple chia sẻ thông tin tình báo về hacker Triều Tiên với ngành tiền mã hoá sau các vụ hack DeFi trị giá 577 triệu USD

Ripple đang cung cấp thông tin tình báo về mối đe dọa liên quan đến Triều Tiên cho Crypto ISAC, với hy vọng rằng bối cảnh được chia sẻ về các điệp viên DPRK và các vụ khai thác DeFi có thể ngăn chặn làn sóng tấn công hack năm 2026 do Drift và KelpDAO dẫn đầu.

Ripple cho biết họ đã bắt đầu chia sẻ thông tin tình báo nội bộ về hoạt động tấn công mạng của Triều Tiên với các thành viên của Crypto ISAC, một tổ chức an ninh mạng phi lợi nhuận tập trung vào lĩnh vực tài sản kỹ thuật số.

Trong một blog chung, giám đốc phát triển của Crypto ISAC, Christina Spring, viết rằng dữ liệu "bao gồm từ các tên miền và ví được biết đến là có liên quan đến gian lận, đến các Chỉ số Xâm phạm (IOC) từ các chiến dịch hack DPRK đang hoạt động."

Nguồn cấp dữ liệu mối đe dọa của Ripple được chuyển đến Crypto ISAC

Bà nhấn mạnh rằng điều làm cho nguồn cấp dữ liệu của Ripple khác biệt không chỉ là các chỉ số thô mà còn là "thông tin bổ sung theo ngữ cảnh từ một nhóm bảo mật có chuyên môn sâu về các tác nhân đe dọa ảnh hưởng đến hệ sinh thái Crypto," giúp các đội phòng thủ có thêm bối cảnh hành động thực tế hơn so với một danh sách IOC thông thường.

Thông báo của chính Ripple trên X lập luận rằng "tư thế bảo mật mạnh nhất trong Crypto là tư thế được chia sẻ," đồng thời bổ sung rằng "một tác nhân đe dọa thất bại trong kiểm tra lý lịch tại một công ty sẽ nộp đơn vào ba công ty khác trong cùng tuần đó. Không có thông tin tình báo được chia sẻ, mọi công ty đều bắt đầu từ con số không."

Thông tin tình báo được cho là bao gồm hồ sơ chi tiết về các nhân viên IT nghi ngờ là người Triều Tiên đang cố gắng thâm nhập vào các công ty Crypto và fintech, kết nối các địa chỉ Email, tên miền, ví on-chain và cơ sở hạ tầng phần mềm độc hại được sử dụng trong nhiều chiến dịch khác nhau.

Drift và KelpDAO cho thấy sự chuyển dịch sang kỹ thuật xã hội

Động thái của Ripple là để phản ứng trước làn sóng tấn công liên quan đến DPRK nhắm vào DeFi trong năm 2026, đặc biệt là các vụ hack nhắm vào Drift Protocol trên nền tảng Solana và nền tảng re-staking KelpDAO.

TRM Labs ước tính rằng chỉ riêng hai sự cố đó đã mang lại cho các nhóm Triều Tiên khoảng 577 triệu USD — 285 triệu USD từ Drift và khoảng 292 triệu USD từ KelpDAO — chiếm 76% tổng giá trị bị hack trong lĩnh vực tiền mã hoá tính đến tháng 4.

Chainalysis và TRM ghi nhận rằng các tác nhân liên quan đến Triều Tiên đã đánh cắp hơn 2 tỷ USD vào năm 2025, đưa tổng số tiền tích lũy lên hơn 6,7 tỷ USD, và tỷ lệ của DPRK trong tổng thiệt hại từ các vụ hack Crypto toàn cầu đã tăng từ dưới 10% vào năm 2020 lên 64% vào năm 2025.

Vụ khai thác Drift ngày 1/4 theo sau những gì The Hacker News và Chainalysis mô tả là một chiến dịch kỹ thuật xã hội kéo dài sáu tháng bắt đầu vào cuối năm 2025, trong đó các đại diện Triều Tiên đã tổ chức các cuộc gặp trực tiếp với các cộng tác viên của Drift và sử dụng lòng tin đó để thuyết phục những người ký xác nhận cấp phép trước các giao dịch rút tiền thông qua tính năng "durable nonce" của Solana.

Những kẻ tấn công sau đó đã thực hiện 31 giao dịch được ký trước trong khoảng 12 phút, rút cạn 285 triệu USD tài sản trước khi chuyển phần lớn số tiền sang Ethereum; TRM cho biết ETH bị đánh cắp phần lớn vẫn nằm im, cho thấy một kế hoạch rửa tiền thận trọng với tầm nhìn dài hạn.

Vụ khai thác KelpDAO ngày 18/4 sử dụng một phương thức khác: các tác nhân liên quan đến DPRK đã xâm phạm hai nút RPC nội bộ, tấn công DDoS các nút bên ngoài và đưa dữ liệu giả vào DVN của LayerZero Labs để đúc 116,500 rsETH không có tài sản bảo đảm, sau đó sử dụng tài sản thế chấp đó để vay khoảng 196 triệu USD ETH trên Aave.

Phân tích tiếp theo từ TRM và các bên khác cho thấy trong khi Hội đồng Bảo mật Arbitrum đã đóng băng khoảng 71,5 triệu USD ETH ở hạ nguồn, những kẻ tấn công đã nhanh chóng chuyển hướng để hoán đổi số tiền còn lại sang BTC thông qua THORChain và các trung gian Trung Quốc, nhấn mạnh sự tinh vi và khả năng thích nghi trong các hoạt động rửa tiền của chúng.

Để đáp lại, liên minh DeFi United do Aave dẫn đầu đã huy động hơn 300 triệu USD trong một kế hoạch phục hồi cho KelpDAO, trong khi lệnh đóng băng khẩn cấp của Arbitrum và việc nhanh chóng thành lập các nhóm đặc nhiệm phục hồi xuyên giao thức làm nổi bật sự sẵn sàng ngày càng tăng trong việc phối hợp các biện pháp phòng thủ ở cấp độ hệ sinh thái.

Một bài viết gần đây của Decrypt và thông điệp của chính Ripple đóng khung sáng kiến chia sẻ dữ liệu mới như một nỗ lực đi trước sự phát triển về chiến thuật này — đưa ngành công nghiệp từ nhận thức rời rạc sang thông tin tình báo được chia sẻ theo thời gian thực để chống lại những gì nhà nghiên cứu bảo mật Natalie Newson tại CertiK gọi là "một hoạt động tài chính do nhà nước chỉ đạo hoạt động ở quy mô và tốc độ thể chế."