Ripple gaat zijn interne kennis over Noord-Koreaanse hackers delen met de bredere cryptosector. Dat maakte het bedrijf maandag bekend. De stap onderstreept een koerswijziging in hoe de sector omgaat met de snel veranderende dreiging uit Noord-Korea.

Aanvallen verschuiven van code naar mensen

Tussen 2022 en 2024 richtten de meeste DeFi-aanvallen zich op kwetsbaarheden in code. Hackers maakten misbruik van fouten in slimme contracten en konden zo in korte tijd miljoenen aan crypto buitmaken.

Nu die beveiliging is aangescherpt, verschuift de focus. Aanvallen richten zich steeds vaker op mensen in plaats van technologie.

Volgens Ripple proberen Noord-Koreaanse hackers actief binnen te komen bij cryptobedrijven. Ze solliciteren, doorlopen screenings en bouwen via gesprekken en vergaderingen langzaam vertrouwen op. Pas daarna slaan ze toe.

Het gevaar zit juist in die aanpak: de aanvaller zit al binnen. Daardoor blijven deze operaties vaak buiten beeld van traditionele beveiligingssystemen.

Aanval op Drift was maandenlange infiltratie

Een duidelijk voorbeeld is de aanval op DeFi-platform Drift Protocol in april. Daarbij werd geen kwetsbaarheid in de code gevonden en geen enkel slim contract misbruikt.

In plaats daarvan infiltreerden Noord-Koreaanse hackers maandenlang in de organisatie. Ze bouwden vertrouwen op met medewerkers, wisten ongemerkt schadelijke software te installeren en kregen zo toegang tot gevoelige systemen.

Toen uiteindelijk 285 miljoen dollar werd buitgemaakt, sloeg geen enkel alarmsysteem aan. De aanval kwam van binnenuit en bleef daardoor onder de radar.

Deze reconstructie is volgens Ripple en Crypto ISAC, de samenwerkingsgroep voor informatie-uitwisseling binnen de cryptosector.

Ripple deelt profielen van verdachte accounts

Ripple deelt voortaan met Crypto ISAC profielinformatie die helpt om dit soort aanvallen sneller te herkennen. Het gaat onder meer om LinkedIn-profielen, e-mailadressen, locaties en telefoonnummers.

Met die gegevens kunnen beveiligingsteams verbanden leggen tussen verdachte sollicitanten. Zo kan iemand die bij het ene bedrijf wordt afgewezen, direct worden herkend als dezelfde persoon die elders opnieuw probeert binnen te komen.

“De sterkste beveiliging in crypto is gedeelde beveiliging,” schreef Ripple op X. “Een aanvaller die bij het ene bedrijf wordt afgewezen, solliciteert diezelfde week bij meerdere andere bedrijven. Zonder het delen van informatie begint ieder bedrijf telkens opnieuw.”

Juridische strijd rond bevroren Ethereum

De invloed van de Lazarus-groep, een beruchte Noord-Koreaanse hackersorganisatie, reikt inmiddels verder dan alleen cyberaanvallen. Ook juridische procedures worden erdoor geraakt.

Een advocaat die slachtoffers van Noord-Koreaans terrorisme vertegenwoordigt, stuurde maandag een aanmaning naar Arbitrum DAO. Volgens hem behoort de 30.765 Ethereum die na de aanval op Kelp werd bevroren, juridisch toe aan Noord-Korea. Daarmee zou het vermogen volgens Amerikaanse wetgeving kunnen worden ingezet voor schadevergoeding aan slachtoffers.

Leenplatform Aave verzet zich tegen die redenering en schaart zich achter Arbitrum. Volgens het platform blijft gestolen crypto eigendom van de oorspronkelijke eigenaar. “Een dief wordt geen rechtmatige eigenaar door iets te stelen,” luidt het standpunt.

Bij de aanval op Kelp werd voor ongeveer 292 miljoen dollar aan Ethereum buitgemaakt, een operatie die eveneens wordt toegeschreven aan de Lazarus-groep. Samen met de aanval op Drift loopt het totaalbedrag dat in één maand aan deze groep wordt gelinkt op tot meer dan een half miljard dollar.