Ripple partilha informações sobre hackers da RPDC com a indústria de criptomoedas após $577M em ataques DeFi
A Ripple está a fornecer informações de ameaças ligadas à Coreia do Norte ao Crypto ISAC, esperando que o contexto partilhado sobre operativos da RPDC e exploits de DeFi possa travar uma vaga de ataques informáticos em 2026 liderada pelo Drift e KelpDAO.
- A Ripple está a contribuir com informações de ameaças exclusivas ligadas à Coreia do Norte para a plataforma de partilha de informações Crypto ISAC, defendendo que "a postura de segurança mais sólida em criptomoeda é uma postura partilhada."
- Os hackers da RPDC roubaram cerca de 577 milhões de dólares em criptomoedas até ao momento em 2026 — 76% de todas as perdas por ataques informáticos acumuladas no ano — em grande parte através de dois exploits de DeFi no Drift Protocol e no KelpDAO.
- As informações abrangem perfis enriquecidos de suspeitos operativos de TI norte-coreanos e indicadores detalhados de comprometimento (IOCs), à medida que os atacantes transitam de exploits puramente técnicos para campanhas longas impulsionadas pela engenharia social.
A Ripple afirmou ter começado a partilhar informações de ameaças internas sobre atividades de pirataria informática norte-coreanas com os membros do Crypto ISAC, um coletivo cibernético sem fins lucrativos focado no setor de ativos digitais.
Num blog conjunto, a diretora de crescimento do Crypto ISAC, Christina Spring, escreveu que os dados "variam desde domínios e carteiras conhecidos por estarem associados a fraudes, até Indicadores de Comprometimento (IOCs) de campanhas ativas de hacking da RPDC."
Os feeds de ameaças da Ripple chegam ao Crypto ISAC
Ela sublinhou que o que diferencia os feeds da Ripple não são apenas indicadores brutos, mas sim "o enriquecimento contextual proveniente de uma equipa de segurança com profunda experiência nos agentes de ameaças que afetam o ecossistema de criptomoedas", proporcionando aos defensores um contexto mais acionável do que uma lista típica de IOCs.
O próprio anúncio da Ripple no X argumentou que "a postura de segurança mais sólida em criptomoeda é uma postura partilhada", acrescentando que "um agente de ameaça que reprova numa verificação de antecedentes numa empresa irá candidatar-se a mais três nessa mesma semana. Sem informações partilhadas, cada empresa começa do zero."
As informações incluem, alegadamente, perfis enriquecidos de suspeitos trabalhadores de TI norte-coreanos que tentam infiltrar-se em empresas de criptomoedas e fintech, interligando endereços de e-mail, domínios, carteiras on-chain e infraestruturas de malware utilizadas em múltiplas campanhas.
O Drift e o KelpDAO revelam uma mudança para a engenharia social
A iniciativa da Ripple surge em resposta a uma vaga de ataques ligados à RPDC que visaram o DeFi em 2026, nomeadamente os ataques ao Drift Protocol, baseado na Solana, e à plataforma de re-staking KelpDAO.
A TRM Labs estima que esses dois incidentes renderam aos grupos norte-coreanos cerca de 577 milhões de dólares — 285 milhões de dólares provenientes do Drift e aproximadamente 292 milhões de dólares do KelpDAO — representando 76% de todo o valor roubado em ataques informáticos a criptomoedas até abril.
A Chainalysis e a TRM assinalam que os agentes ligados à Coreia do Norte roubaram mais de 2 mil milhões de dólares em 2025, elevando o seu total acumulado para mais de 6,7 mil milhões de dólares, e que a quota-parte da RPDC nas perdas globais por ataques informáticos a criptomoedas subiu de menos de 10% em 2020 para 64% em 2025.
O exploit do Drift de 1 de abril seguiu-se ao que o The Hacker News e a Chainalysis descrevem como uma campanha de engenharia social de seis meses iniciada no final de 2025, durante a qual intermediários norte-coreanos realizaram reuniões presenciais com colaboradores do Drift e usaram essa confiança para convencer os signatários a pré-autorizarem levantamentos através da funcionalidade "durable nonce" da Solana.
Os atacantes executaram então 31 transações pré-assinadas em cerca de 12 minutos, drenando 285 milhões de dólares em ativos antes de transferirem a maior parte dos fundos para o Ethereum; a TRM refere que o ETH roubado permaneceu em grande parte inativo, indicando um plano de branqueamento de capitais cauteloso e de longo prazo.
O exploit do KelpDAO de 18 de abril utilizou uma abordagem diferente: agentes ligados à RPDC comprometeram dois nós RPC internos, realizaram ataques DDoS a nós externos e introduziram dados falsos no DVN da LayerZero Labs para cunhar 116.500 rsETH sem respaldo, usando depois esse colateral para contrair empréstimos de cerca de 196 milhões de dólares em ETH na Aave.
A análise subsequente da TRM e de outros intervenientes mostra que, embora o Arbitrum Security Council tenha congelado cerca de 71,5 milhões de dólares em ETH a jusante, os atacantes rapidamente se reorientaram para converter os fundos restantes em BTC através da THORChain e de intermediários chineses, sublinhando a sofisticação e a adaptabilidade das suas operações de branqueamento de capitais.
Em resposta, a coligação DeFi United liderada pela Aave angariou mais de 300 milhões de dólares num plano de recuperação para o KelpDAO, enquanto o congelamento de emergência da Arbitrum e a rápida formação de grupos de trabalho de recuperação entre protocolos evidenciam uma crescente disponibilidade para coordenar medidas defensivas ao nível do ecossistema.
Uma recente reportagem do Decrypt e as próprias comunicações da Ripple enquadram a nova iniciativa de partilha de dados como uma tentativa de antecipar esta evolução de táticas — transitando o setor de uma consciencialização fragmentada para uma informação partilhada em tempo real contra o que a investigadora de segurança Natalie Newson da CertiK denomina "uma operação financeira dirigida pelo Estado a funcionar em escala e velocidade institucionais."
Você também pode gostar
Sato tiếp tục tăng giá, hai tài khoản lớn lãi thả nổi vượt 360.000 USD
SharpLink thêm 491 ETH phần thưởng tuần khi staking tăng tốc
