Ripple將在DeFi駭客攻擊造成5.77億美元損失後，與加密貨幣行業分享朝鮮駭客情報

Ripple 正將與北韓相關的威脅情報輸入 Crypto ISAC，希望藉由共享有關朝鮮民主主義人民共和國特工及 DeFi 漏洞利用的情境資訊，遏制由 Drift 和 KelpDAO 事件引發的 2026 年駭客攻擊浪潮。

Ripple 表示已開始與 Crypto ISAC 成員共享有關北韓駭客活動的內部威脅情報，Crypto ISAC 是一個專注於數位資產領域的非營利網路安全組織。

在一篇聯合部落格文章中，Crypto ISAC 成長總監 Christina Spring 寫道，相關資料「涵蓋範圍從已知與詐欺相關的域名和錢包，到來自活躍朝鮮民主主義人民共和國駭客活動的入侵指標（IOC）。」

Ripple 的威脅情報饋送至 Crypto ISAC

她強調，Ripple 情報饋送的差異化之處，不僅在於原始指標，更在於「來自具備深厚專業知識的安全團隊的情境豐富化，該團隊深入瞭解影響加密貨幣生態系統的威脅行為者」，為防禦者提供比典型 IOC 清單更具可操作性的情境資訊。

Ripple 在 X 上的官方公告主張「加密貨幣領域中最強的安全態勢是共享的」，並補充道「一個在某家公司背景調查中失敗的威脅行為者，同一週內就會向另外三家公司提出申請。若沒有共享情報，每家公司都從零開始。」

據報導，相關情報包含疑似北韓 IT 工作者的詳細資料，這些人試圖滲透加密貨幣和金融科技公司，並將多次攻擊活動中使用的電子郵件地址、域名、鏈上錢包及惡意軟體基礎設施串聯起來。

Drift 和 KelpDAO 顯示攻擊手法轉向社會工程學

Ripple 此舉是為了應對 2026 年一波針對 DeFi 的朝鮮民主主義人民共和國相關攻擊，其中最引人注目的是針對基於 Solana 的 Drift Protocol 及再質押平台 KelpDAO 的駭客攻擊。

TRM Labs 估計，僅這兩起事件就為北韓組織帶來約 5.77 億美元的收益——其中來自 Drift 的為 2.85 億美元，來自 KelpDAO 的約為 2.92 億美元——佔截至四月所有加密貨幣駭客攻擊總價值的 76%。

Chainalysis 和 TRM 指出，北韓相關行為者在 2025 年竊取了超過 20 億美元，使其累計總額增加到超過 67 億美元，且朝鮮民主主義人民共和國在全球加密貨幣駭客損失中所佔的份額，從 2020 年的不足 10% 增加到 2025 年的 64%。

4 月 1 日的 Drift 漏洞利用事件，是在 The Hacker News 和 Chainalysis 所描述的一場從 2025 年底開始、長達六個月的社會工程學攻擊活動之後發生的。在此期間，北韓代理人與 Drift 貢獻者進行了面對面會議，並利用建立的信任說服簽署者透過 Solana 的「持久隨機數」（Durable Nonce）功能預先授權提款。

攻擊者隨後在約 12 分鐘內執行了 31 筆預先簽署的交易，在將大部分資金轉移至 Ethereum 之前，竊走了 2.85 億美元的資產；TRM 表示，被盜的 ETH 大部分仍處於靜默狀態，顯示其採取謹慎、長期的洗錢計劃。

4 月 18 日的 KelpDAO 漏洞利用事件採用了不同的攻擊手法：朝鮮民主主義人民共和國相關行為者入侵了兩個內部 RPC 節點，對外部節點發動 DDoS 攻擊，並向 LayerZero Labs 的 DVN 輸入虛假資料，鑄造了 116,500 枚無擔保的 rsETH，再以此作為抵押品在 Aave 上借出約 1.96 億美元的 ETH。

TRM 及其他機構的後續分析顯示，儘管 Arbitrum 安全委員會凍結了約 7,150 萬美元的下游 ETH，攻擊者仍迅速轉向，透過 THORChain 和中國中間商將剩餘資金兌換為 BTC，凸顯了其洗錢操作的複雜性與適應能力。

作為回應，由 Aave 主導的聯盟 DeFi United 已為 KelpDAO 籌集超過 3 億美元的復原計劃，而 Arbitrum 的緊急凍結行動及跨協議復原工作組的快速成立，突顯了整個生態系統層面在協調防禦措施方面日益增強的意願。

Decrypt 近期的一篇專題報導以及 Ripple 自身的聲明，均將這項新的資料共享計劃定位為搶先應對這種戰術演變的嘗試——推動業界從碎片化的認知，邁向針對 CertiK 安全研究員 Natalie Newson 所稱的「以機構規模和速度運作的國家主導金融行動」的共享即時情報。