Ripple начала делиться с партнёрами по Crypto ISAC собственной разведывательной информацией о группах, связанных с КНДР, чтобы помочь криптокомпаниям быстрее реагировать на киберугрозы. Инициатива призвана переломить ситуацию, при которой злоумышленники, провалившие проверку в одной фирме, на той же неделе пытаются проникнуть ещё в несколько, а компании из-за отсутствия обмена данными начинают расследование с нуля.
На протяжении 2022–2024 годов основной ущерб от хакеров приходился на уязвимости смарт-контрактов — злоумышленники находили ошибки в коде и выводили средства за считанные минуты. Однако по мере усиления технической защиты фокус сместился в сторону людей. Оперативники Lazarus Group и других подразделений КНДР стали внедряться в штат, проходить собеседования, выстраивать доверительные отношения в течение нескольких месяцев, а затем компрометировать внутренние системы, оставаясь незамеченными для традиционных средств безопасности.
Именно такой сценарий, по версии Ripple и Crypto ISAC, был реализован при атаке на Drift: злоумышленники не эксплуатировали уязвимости кода, а в течение длительного времени входили в доверие к разработчикам, заражали их устройства вредоносным ПО и в итоге получили доступ к ключам, что привело к потере $285 млн. В том же месяце через эксплойт моста Kelp было похищено $292 млн в ETH, что также связывают с оперативниками Lazarus. Таким образом, только за апрель 2026 года ущерб от действий одной государственной группировки превысил полмиллиарда долларов.
Теперь Ripple предоставляет Crypto ISAC профили подозрительных лиц — адреса электронной почты, ссылки на LinkedIn, географию активности, контактные данные — то есть ту «соединительную ткань», которая позволяет службам безопасности разных компаний узнать в соискателе, только что прошедшем собеседование, того же оперативника, который ранее не прошёл проверку у конкурентов. В своём заявлении Ripple подчеркнула: «Сильнейшая защита в криптоиндустрии — общая. Злоумышленник, не прошедший проверку в одной компании, подаст заявки ещё в три на той же неделе. Без общего доступа к разведданным каждая компания начинает с нуля».
Инициатива стала частью более широкого тренда: на фоне растущей угрозы со стороны КНДР юридические процедуры тоже адаптируются. Так, адвокат, представляющий жертв северокорейского кибертерроризма, направил уведомления о приостановлении операций Arbitrum DAO, утверждая, что замороженные после эксплойта Kelp 30 765 ETH являются собственностью КНДР по американскому законодательству. Кредитный протокол Aave оспорил эту позицию, указывая, что «вор не приобретает законного права собственности на украденное имущество лишь потому, что завладел им».
Совместный обмен данными не отменяет необходимости внутренних проверок, обучения персонала и строгих политик доступа для подрядчиков, но он даёт шанс заметить повторяющиеся паттерны на ранней стадии. Остаётся открытым вопрос, насколько быстро такое сотрудничество позволит замедлить кампании Lazarus — не исключено, что те же оперативники уже участвуют в собеседованиях где-то ещё.
