„Ripple“ teikia su Šiaurės Korėja susijusią grėsmių žvalgybą į „Crypto ISAC“, tikėdamasi, kad bendras kontekstas apie KLDR darbuotojus ir „DeFi“ išnaudojimus gali numalšinti 2026 m. įsilaužimo bangą, kuriai vadovavo „Drift“ ir „KelpDAO“.
Santrauka
- „Ripple“ teikia išskirtinę su Šiaurės Korėja susijusią grėsmių žvalgybos informaciją „Crypto ISAC“ informacijos dalijimosi platformai, teigdama, kad „stipriausia kriptovaliutų saugumo poza yra bendra“.
- KLDR įsilaužėliai iki šiol 2026 m. pavogė apie 577 mln. USD kriptovaliutų – 76% visų įsilaužimų nuostolių per metus – daugiausia per du „DeFi“ išnaudojimus „Drift Protocol“ ir „KelpDAO“.
- Žvalgybos duomenys apima patobulintus įtariamų Šiaurės Korėjos IT darbuotojų profilius ir išsamius kompromiso (IOC) rodiklius, kai užpuolikai pereina nuo grynai techninių išnaudojimų prie ilgų, socialine inžinerija paremtų kampanijų.
„Ripple“ pranešė, kad pradėjo dalytis vidinės grėsmės žvalgybos duomenimis apie Šiaurės Korėjos įsilaužimo veiklą su „Crypto ISAC“, pelno nesiekiančio kibernetinio kolektyvo, besiorientuojančio į skaitmeninio turto sektorių, nariais.
Bendrame tinklaraštyje Crypto ISAC augimo direktorė Christina Spring rašė, kad duomenys „svyruoja nuo domenų ir piniginių, kurie, kaip žinoma, yra susiję su sukčiavimu, iki kompromiso rodiklių (IOC) iš aktyvių KLDR įsilaužimo kampanijų“.
„Ripple“ grėsmių kanalai patenka į „Crypto ISAC“.
Ji pabrėžė, kad tai, kas išskiria Ripple kanalus, yra ne tik neapdoroti rodikliai, bet ir „konteksto praturtinimas iš saugumo komandos, turinčios gilią grėsmės veikėjų, turinčių įtakos kriptovaliutų ekosistemai, kompetenciją“, suteikiant gynėjams veiksmingesnį kontekstą nei įprastame TOK sąraše.
Pačios Ripple pranešime apie X buvo teigiama, kad „tvirčiausia saugumo poza kriptovaliutų srityje yra bendra“, pridurdama, kad „grėsmės veikėjas, kurio biografija nepavyks patikrinti vienoje įmonėje, tą pačią savaitę kreipsis į dar tris. Be bendros žvalgybos, kiekviena įmonė pradeda nuo nulio“.
Pranešama, kad žvalgybos duomenys apima išplėstinius įtariamų Šiaurės Korėjos IT darbuotojų profilius, bandančius įsiterpti į kriptovaliutų ir finansinių technologijų įmones, susiejančius el. pašto adresus, domenus, tinkle esančias pinigines ir kenkėjiškų programų infrastruktūrą, naudojamą keliose kampanijose.
Drift ir KelpDAO rodo perėjimą prie socialinės inžinerijos
„Ripple“ žingsnis yra atsakas į su KLDR susijusių išpuolių bangą, kurios taikinys buvo „DeFi“ 2026 m., visų pirma į Solanoje pagrįstą „Drift Protocol“ įsilaužimą ir „KelpDAO“ platformos atnaujinimą.
TRM Labs apskaičiavo, kad vien dėl šių dviejų incidentų Šiaurės Korėjos grupės uždirbo apie 577 mln. USD – 285 mln. USD iš „Drift“ ir maždaug 292 mln. USD iš KelpDAO – tai sudarė 76% visos kriptovaliutų įsilaužimo vertės iki balandžio mėn.
Chainalysis ir TRM pažymi, kad su Šiaurės Korėja susiję veikėjai 2025 m. pavogė daugiau nei 2 milijardus JAV dolerių, todėl bendras jų kiekis viršijo 6,7 mlrd.
Balandžio 1 d. „Drift“ išnaudojimas buvo atliktas po to, ką „The Hacker News“ ir „Chainalysis“ apibūdina kaip šešis mėnesius trukusią socialinės inžinerijos kampaniją, prasidėjusią 2025 m. pabaigoje, per kurią Šiaurės Korėjos įgaliotieji asmenys surengė asmeninius susitikimus su „Drift“ bendradarbiais ir pasinaudojo šiuo pasitikėjimu, kad įtikintų pasirašiusius asmenis iš anksto patvirtinti išėmimus naudojant „Solana“ funkciją „tvarus nenutraukimas“.
Tada užpuolikai įvykdė 31 iš anksto pasirašytą operaciją per maždaug 12 minučių, išnaudodami 285 mln. USD turto, prieš perkeldami didžiąją dalį lėšų į Ethereum; TRM teigia, kad pavogtas ETH iš esmės liko neaktyvus, o tai rodo atsargų, ilgalaikį plovimo planą.
Balandžio 18 d. KelpDAO išnaudojimui buvo naudojamas kitoks planas: su KLDR susiję veikėjai sukompromitavo du vidinius RPC mazgus, DDoS išorinius mazgus ir pateikė klaidingus duomenis į „LayerZero Labs“ DVN, kad surinktų 116 500 nepadengtų rsETH, tada pasinaudojo tuo užstatu, kad pasiskolintų apie 196 mln. ATH.
Vėlesnė TRM ir kitų analizė rodo, kad nors Arbitrum saugumo taryba įšaldė maždaug 71,5 mln.
Reaguodama į tai, Aave vadovaujama koalicija „DeFi United“ surinko daugiau nei 300 mln.
Neseniai įdiegta iššifravimo funkcija ir pačios Ripple pranešimų siuntimas sudaro naują dalijimosi duomenimis iniciatyvą kaip bandymą aplenkti šią taktikos evoliuciją – perkeliant pramonę nuo susiskaldžiusio supratimo prie bendros realiojo laiko žvalgybos, palyginti su tuo, ką saugumo tyrinėtoja Natalie Newson iš CertiK vadina „valstybės vadovaujama finansine operacija, vykdoma instituciniu mastu ir greičiu“.
