Апрельская атака на протокол Drift, в результате которой было похищено $285 млн, выявила новый метод взлома — долгосрочную социальную инженерию, а не эксплуатацию смарт-контрактов. В ответ компания Ripple
XRP$1.41+1.08% намерена передавать криптовалютным фирмам разведданные об угрозах со стороны северокорейских хакеров.
Почему взлом Drift стал переломным моментом
Вместо привычных атак через ошибки в коде смарт-контрактов злоумышленники использовали долгосрочную социальную инженерию — манипулирование сотрудниками для получения доступа к системам. По данным CoinDesk, этот инцидент показал, что северокорейские хакерские группировки перешли от технических эксплойтов к сложным многоэтапным схемам обмана персонала.
Ранее мы рассказывали, как северокорейские хакеры годами внедрялись в протокол Drift, чтобы украсть $285 млн.
Сумма ущерба в $285 млн делает взлом Drift одним из крупнейших в 2025 году. Ripple заявила, что подобные атаки требуют нового подхода к обмену информацией между участниками рынка.
Как Ripple планирует делиться данными об угрозах
Компания создаст механизм распространения индикаторов компрометации и описаний тактик северокорейских хакеров среди криптокомпаний. В первую очередь информация будет полезна биржам, кастодиальным сервисам и DeFi-протоколам — именно они чаще всего становятся целями атак.
Ripple будет делиться данными, собранными собственной службой безопасности, а также агрегировать информацию от партнёров. Участие в программе добровольное, но компания призывает всех игроков рынка присоединиться к обмену.
Напомним, что в апреле КНДР похитила $12 млн через ИИ, используя вредоносный код и поддельные сайты.
Почему северокорейские хакеры меняют тактику
Группировки вроде Lazarus Group на протяжении нескольких лет атакуют криптовалютные платформы. По оценкам аналитиков, только в 2024 году они похитили более $1,5 млрд в цифровых активах. Переход от технических эксплойтов к социальной инженерии усложняет защиту, так как требует обучения персонала, а не только аудита кода.
Инициатива Ripple может стать первым шагом к созданию отраслевого центра обмена угрозами по аналогии с FS-ISAC в традиционных финансах. Пока неизвестно, присоединятся ли к программе крупные биржи, такие как Binance и Coinbase.
Для российских криптокомпаний и пользователей из СНГ северокорейские хакеры представляют прямую угрозу: в 2023 году была атакована российская биржа Wex, а несколько DeFi-протоколов с русскоязычными командами пострадали от фишинговых кампаний, связанных с Lazarus.
Эксперты по безопасности отмечают, что обмен разведданными — единственный эффективный способ противостоять организованным хакерским группам. Однако для успеха необходимо участие всех крупных игроков рынка, включая децентрализованные протоколы, которые традиционно неохотно делятся информацией об инцидентах.
Останется ли инициатива Ripple закрытым клубом крупных компаний или перерастёт в общедоступную платформу — пока неясно. Но сам факт того, что один из лидеров индустрии признал угрозу социальной инженерии главной на 2025 год, заставляет пересмотреть приоритеты в безопасности.