Ripple compartirá información de inteligencia sobre hackers de Corea del Norte con la industria cripto tras $577M en hackeos de DeFi
Ripple está proporcionando inteligencia de amenazas vinculada a Corea del Norte a Crypto ISAC, con la esperanza de que el contexto compartido sobre operativos de la RPDC y exploits de DeFi pueda frenar la ola de hackeos de 2026 liderada por Drift y KelpDAO.
- Ripple está aportando inteligencia de amenazas exclusiva vinculada a Corea del Norte a la plataforma de intercambio de información Crypto ISAC, argumentando que "la postura de seguridad más sólida en criptomoneda es una compartida."
- Los hackers de la RPDC han robado aproximadamente $577 millones en criptomonedas en lo que va de 2026—el 76% de todas las pérdidas por hackeos en lo que va del año—principalmente a través de dos exploits de DeFi en Drift Protocol y KelpDAO.
- La inteligencia abarca perfiles enriquecidos de presuntos operativos informáticos norcoreanos e indicadores de compromiso (IOCs) detallados, a medida que los atacantes pasan de exploits puramente técnicos a largas campañas basadas en ingeniería social.
Ripple afirmó que ha comenzado a compartir inteligencia de amenazas interna sobre la actividad de hackeo norcoreana con los miembros de Crypto ISAC, un colectivo cibernético sin fines de lucro centrado en el sector de activos digitales.
En un blog conjunto, Christina Spring, directora de crecimiento de Crypto ISAC, escribió que los datos "van desde dominios y billeteras conocidos por estar asociados con fraudes hasta Indicadores de Compromiso (IOCs) de campañas de hackeo activas de la RPDC."
Los feeds de amenazas de Ripple llegan a Crypto ISAC
Subrayó que lo que diferencia los feeds de Ripple no son solo los indicadores brutos, sino el "enriquecimiento contextual de un equipo de seguridad con profunda experiencia en los actores de amenazas que impactan el ecosistema de criptomonedas", lo que ofrece a los defensores un contexto más accionable que una lista típica de IOCs.
El anuncio de Ripple en X argumentó que "la postura de seguridad más sólida en criptomoneda es una compartida", añadiendo que "un actor de amenazas que no pasa una verificación de antecedentes en una empresa se postulará en tres más la misma semana. Sin inteligencia compartida, cada empresa empieza desde cero."
Según se informa, la inteligencia incluye perfiles enriquecidos de presuntos trabajadores informáticos norcoreanos que intentan infiltrarse en empresas de criptomonedas y fintech, vinculando direcciones de correo electrónico, dominios, billeteras on-chain e infraestructura de malware utilizada en múltiples campañas.
Drift y KelpDAO muestran un giro hacia la ingeniería social
El movimiento de Ripple surge en respuesta a una ola de ataques vinculados a la RPDC que han apuntado a DeFi en 2026, en particular los hackeos al Drift Protocol basado en Solana y a la plataforma de re-staking KelpDAO.
TRM Labs estima que solo esos dos incidentes le reportaron a los grupos norcoreanos alrededor de $577 millones—$285 millones de Drift y aproximadamente $292 millones de KelpDAO—representando el 76% del valor total de hackeos de criptomonedas hasta abril.
Chainalysis y TRM señalan que los actores vinculados a Corea del Norte robaron más de $2.000 millones en 2025, elevando su botín acumulado por encima de los $6.700 millones, y que la participación de la RPDC en las pérdidas globales por hackeos de criptomonedas escaló de menos del 10% en 2020 al 64% en 2025.
El exploit de Drift del 1 de abril siguió lo que The Hacker News y Chainalysis describen como una campaña de ingeniería social de seis meses que comenzó a finales de 2025, durante la cual intermediarios norcoreanos mantuvieron reuniones presenciales con colaboradores de Drift y utilizaron esa confianza para convencer a los firmantes de pre-autorizar retiros mediante la función "durable nonce" de Solana.
Los atacantes ejecutaron luego 31 transacciones pre-firmadas en aproximadamente 12 minutos, drenando $285 millones en activos antes de transferir la mayor parte de los fondos a Ethereum; TRM señala que el ETH robado ha permanecido en gran medida inactivo, lo que indica un plan de lavado de dinero cauteloso y a largo plazo.
El exploit de KelpDAO del 18 de abril utilizó un enfoque diferente: actores vinculados a la RPDC comprometieron dos nodos RPC internos, realizaron ataques DDoS a nodos externos e introdujeron datos falsos en el DVN de LayerZero Labs para acuñar 116.500 rsETH sin respaldo, y luego usaron ese colateral para tomar prestados aproximadamente $196 millones en ETH en Aave.
El análisis posterior de TRM y otros muestra que, si bien el Consejo de Seguridad de Arbitrum congeló aproximadamente $71,5 millones en ETH de downstream, los atacantes rápidamente pivotaron para intercambiar los fondos restantes en BTC a través de THORChain e intermediarios chinos, subrayando la sofisticación y adaptabilidad de sus operaciones de lavado de dinero.
En respuesta, la coalición liderada por Aave, DeFi United, ha recaudado más de $300 millones en un plan de recuperación para KelpDAO, mientras que la congelación de emergencia de Arbitrum y la rápida formación de grupos de trabajo de recuperación entre protocolos destacan una creciente disposición a coordinar medidas defensivas a nivel del ecosistema.
Un reciente artículo de Decrypt y los propios mensajes de Ripple enmarcan la nueva iniciativa de intercambio de datos como un intento de adelantarse a esta evolución en las tácticas—moviendo a la industria de una conciencia fragmentada hacia una inteligencia compartida en tiempo real contra lo que la investigadora de seguridad Natalie Newson de CertiK denomina "una operación financiera dirigida por el Estado que opera a escala y velocidad institucional."
También te puede interesar
El CFO de Coinbase revela que el contrato USDC-Circle se renueva automáticamente a perpetuidad y no tiene cláusula de rescisión
El acuerdo de chips de IA entre OpenAI y Broadcom enfrenta un desafío de financiación de $18 mil millones
