Ripple将在DeFi黑客攻击损失5.77亿美元后与加密行业共享朝鲜黑客情报

Ripple 正在将与朝鲜相关的威胁情报输送至 Crypto ISAC，希望通过共享有关朝鲜特工及 DeFi 漏洞利用的情报，能够遏制由 Drift 和 KelpDAO 事件引发的 2026 年黑客攻击浪潮。

Ripple 表示，已开始向 Crypto ISAC 成员共享有关朝鲜黑客活动的内部威胁情报。Crypto ISAC 是一个专注于数字资产领域的非营利性网络安全联合组织。

在一篇联合 博客中，Crypto ISAC 增长总监 Christina Spring 写道，这些数据"涵盖已知与欺诈相关的域名和钱包地址，以及来自活跃朝鲜黑客活动的入侵指标（IOC）"。

Ripple 的威胁情报输送至 Crypto ISAC

她强调，Ripple 情报的差异化之处不仅在于原始指标，更在于"来自对加密生态系统威胁者具有深厚专业知识的安全团队所提供的情境化丰富解读"，为防御者提供比典型 IOC 列表更具可操作性的背景信息。

Ripple 在 X 上的官方公告指出，"加密货币领域最强大的安全态势在于共享"，并补充道："一个在某家公司背景调查中落败的威胁行为者，同一周内会向另外三家公司提出申请。没有情报共享，每家公司都是从零开始。"

据报道，这些情报包含疑似朝鲜 IT 工作者试图渗入加密货币及金融科技公司的详细画像，将多次攻击活动中使用的电子邮件地址、域名、链上钱包及恶意软件基础设施串联起来。

Drift 和 KelpDAO 事件揭示攻击转向社会工程

Ripple 此举是针对 2026 年一系列朝鲜相关攻击的回应，这些攻击将矛头指向 DeFi 领域，其中最引人注目的是针对基于 Solana 的 Drift Protocol 及再质押平台 KelpDAO 的黑客事件。

TRM Labs 估计，仅这两起事件就为朝鲜相关团体净获约 5.77 亿美元——其中 Drift 2.85 亿美元，KelpDAO 约 2.92 亿美元——占截至四月所有加密货币黑客攻击损失总价值的 76%。

Chainalysis 和 TRM 指出，与朝鲜相关的行为者在 2025 年窃取了逾 20 亿美元，使其累计总额超过 67 亿美元，而朝鲜在全球加密货币黑客损失中所占的份额从 2020 年的不足 10% 攀升至 2025 年的 64%。

4 月 1 日的 Drift 漏洞利用事件，遵循了 The Hacker News 和 Chainalysis 所描述的一场始于 2025 年底、历时六个月的社会工程攻击活动——期间朝鲜代理人与 Drift 贡献者进行了面对面会议，并利用建立的信任说服签署者通过 Solana 的"耐用随机数（durable nonce）"功能预先授权提款。

攻击者随后在约 12 分钟内执行了 31 笔预签名交易，提走 2.85 亿美元资产，并将大部分资金跨链转移至以太坊；TRM 表示，被盗的 ETH 大部分仍处于静止状态，显示出一种谨慎的长期洗钱计划。

4 月 18 日的 KelpDAO 漏洞利用事件采用了不同的手法：朝鲜相关行为者攻陷两个内部 RPC 节点，对外部节点发动 DDoS 攻击，并向 LayerZero Labs 的 DVN 注入虚假数据，铸造了 116,500 枚无抵押的 rsETH，随后将该抵押品用于在 Aave 上借取约 1.96 亿美元的 ETH。

TRM 等机构的后续分析显示，尽管 Arbitrum 安全委员会冻结了约 7,150 万美元的下游 ETH，攻击者仍迅速转向，通过 THORChain 及中国中间商将剩余资金兑换为 BTC，凸显了其洗钱操作的精密性与适应能力。

作为回应，由 Aave 主导的联盟 DeFi United 已为 KelpDAO 筹集逾 3 亿美元的恢复计划，而 Arbitrum 的紧急冻结以及跨协议恢复工作组的迅速成立，彰显了生态系统层面日益增长的协同防御意愿。

Decrypt 近期的一篇 专题报道 和 Ripple 自身的表态将这一新的数据共享举措定性为领先于战术演变的尝试——推动行业从碎片化的意识状态迈向共享的实时情报，以应对 CertiK 安全研究员 Natalie Newson 所称的"以机构规模和速度运作的国家主导金融行动"。