Ripple está fornecendo inteligência de ameaças relacionadas à Coreia do Norte ao Crypto ISAC e espera que o contexto comum em torno de operativos norte-coreanos e explorações de DeFi possa atenuar a onda de hacks de 2026 liderada por Drift e KelpDAO.
resumo
A Ripple fornece inteligência proprietária sobre ameaças relacionadas à Coreia do Norte para a plataforma de compartilhamento de informações Crypto ISAC, alegando que “a postura de segurança mais forte em criptomoedas é compartilhada”. Hackers norte-coreanos roubaram aproximadamente US$ 577 milhões em criptomoedas até 2026. Isso representa 76% de todas as perdas de hackers desde o início do ano e foi causado principalmente por duas explorações de DeFi: Drift Protocol e KelpDAO. Esta inteligência abrange perfis ricos e indicadores detalhados de comprometimento (IOCs) de supostos agentes de TI norte-coreanos, à medida que os invasores passam de explorações puramente técnicas para campanhas de longo prazo orientadas por engenharia social.
A Ripple anunciou que começou a compartilhar inteligência interna sobre ameaças relacionadas à atividade de hackers norte-coreana com membros do Crypto ISAC, um coletivo cibernético sem fins lucrativos focado no espaço de ativos digitais.
Christina Spring, diretora de crescimento da Crypto ISAC, escreveu em um blog conjunto que os dados “variam de domínios e carteiras conhecidos por estarem associados a fraudes até indicadores de comprometimento (IOCs) da campanha ativa de hackers da Coreia do Norte”.
O feed de ameaça Ripple é enviado para Crypto ISAC
Ele enfatizou que o que torna o feed do Ripple diferente não são apenas as métricas brutas, mas “o contexto aprimorado de uma equipe de segurança com profundo conhecimento dos atores de ameaças que impactam o ecossistema de criptomoedas”, fornecendo aos defensores um contexto mais acionável do que uma lista típica do COI.
O próprio anúncio X da Ripple afirmou que “a postura de segurança mais forte em criptomoedas é compartilhada”, acrescentando: “Um invasor que falhar na verificação de antecedentes de uma empresa se candidatará a mais três na mesma semana. Sem inteligência compartilhada, toda empresa está começando do zero.”
As informações supostamente incluem perfis detalhados de pessoal de TI norte-coreano suspeito de tentar se infiltrar em empresas de criptografia e fintech vinculando endereços de e-mail, domínios, carteiras on-chain e infraestrutura de malware usada em diversas campanhas.
Drift e KelpDAO marcam uma mudança em direção à engenharia social
A ação de Ripple é uma resposta a uma onda de ataques relacionados à Coreia do Norte visando DeFi em 2026, mais notavelmente o protocolo Drift baseado em Solana e o hack na plataforma de reestabelecimento KelpDAO.
O TRM Labs estima que esses dois incidentes renderam ao grupo norte-coreano aproximadamente US$ 577 milhões (US$ 285 milhões do Drift e aproximadamente US$ 292 milhões do KelpDAO) e foram responsáveis por 76% do total de hacks de criptomoedas até abril.
Chainalysis e TRM apontam que criminosos relacionados à Coreia do Norte roubaram mais de US$ 2 bilhões em 2025, com perdas acumuladas superiores a US$ 6,7 bilhões, e que a participação da Coreia do Norte nas perdas globais de hackers de criptografia aumentou de menos de 10% em 2020 para 64% em 2025.
A exploração do Drift de 1º de abril seguiu o que The Hacker News e Chainalysis descrevem como uma campanha de engenharia social de seis meses que começou no final de 2025, durante a qual agentes norte-coreanos se encontraram diretamente com os postadores do Drift e usaram sua confiança para persuadir os signatários a pré-autorizarem retiradas por meio do recurso “nonce persistente” de Solana.
Os invasores executaram então 31 transações assinadas em aproximadamente 12 minutos, exfiltrando US$ 285 milhões em ativos antes de transferir a maior parte dos fundos para o Ethereum. O TRM disse que o ETH roubado permaneceu em grande parte inativo, indicando um esquema de lavagem cuidadoso e de longo prazo.
A exploração KelpDAO de 18 de abril usou um manual diferente. Atacantes ligados à Coreia do Norte comprometeram dois nós RPC internos, fizeram DDoS em um nó externo e forneceram dados falsos ao DVN do LayerZero Labs para cunhar 116.500 rsETH não garantidos e usaram essa garantia para emprestar aproximadamente US$ 196 milhões em ETH na Aave.
Análises subsequentes do TRM e outros mostraram que, embora o Conselho de Arbitragem e Segurança tenha congelado aproximadamente US$ 71,5 milhões de ETH downstream, os invasores rapidamente passaram a trocar os fundos restantes por BTC por meio do THORChain e de intermediários chineses, destacando a sofisticação e adaptabilidade de suas operações de lavagem.
Em resposta, a coalizão DeFi United liderada por Aave arrecadou mais de US$ 300 milhões para o plano de recuperação da KelpDAO, enquanto o congelamento de emergência da Arbitrum e a rápida formação de uma força-tarefa de recuperação entre protocolos destacam uma disposição crescente para coordenar as defesas no nível do ecossistema.
Os recursos recentes do Decrypt e as próprias mensagens do Ripple enquadram novas iniciativas de compartilhamento de dados na tentativa de ficar à frente da evolução dessa tática. Trata-se de mover a indústria de uma consciência fragmentada para uma inteligência partilhada e em tempo real para o que Natalie Newson, investigadora de segurança da CertiK, chama de “operações financeiras dirigidas pelo Estado, realizadas em escala e velocidade orgânicas”.
