Ripple начала делиться своей внутренней разведкой об угрозах от северокорейских хакеров со всей криптоиндустрией, сообщили в понедельник Ripple и отраслевой центр обмена данными Crypto ISAC. Повод — смена тактики атак: случай с Drift не был «взломом» кода. Оперативники месяцами входили в доверие к контрибьюторам, занесли вредонос на их компьютеры и унесли ключи. Когда $285 млн уже ушли, системы защиты не увидели ничего подозрительного.
В 2022–2024 годах большинство атак на DeFi били по уязвимостям смарт‑контрактов. Теперь фокус сместился на людей: лже‑соискатели устраиваются в криптокомпании, проходят проверки, выходят на звонки в Zoom, завоёвывают доверие, а затем бьют изнутри — туда, где привычные инструменты безопасности бессильны.
Ripple теперь передаёт в Crypto ISAC профильные данные — анкеты в соцсетях, e‑mail, местоположения, телефоны — «соединительную ткань», по которой службы безопасности видят, что кандидат уже провалил проверки в трёх других фирмах на прошлой неделе.
«Самая надёжная защита в крипте — общая. Злоумышленник, проваливший проверку в одной компании, подастся ещё в три в ту же неделю. Без обмена данными каждая команда начинает с нуля», — написали в Ripple в соцсетях.
Влияние Lazarus Group уже чувствуется и в судах. В понедельник адвокат жертв терроризма КНДР направил предписания Arbitrum DAO, заявив, что 30 765 ETH, замороженные после апрельного взлома моста Kelp, — собственность КНДР по праву США. Aave оспорила это в поддержку Arbitrum: «вор не получает законного права собственности просто потому, что взял вещь». Взлом Kelp унёс $292 млн в эфире и был публично приписан Lazarus Group; вместе с апрельскими потерями Drift и Kelp — свыше полумиллиарда за месяц. Сможет ли отраслевой обмен данными реально замедлить атаки — вопрос открыт.