瑞波开始与加密货币公司分享朝鲜威胁情报

瑞波已开始与加密货币行业共享其关于朝鲜黑客攻击的内部威胁情报，拓展了企业应对内部驱动型攻击的响应方式。

• 瑞波开始与加密货币信息共享与分析中心（Crypto ISAC）共享朝鲜威胁行为者的内部数据，帮助企业更早发现内部驱动型攻击
• 安全团队发现攻击模式已从智能合约漏洞利用转向长期渗透——攻击者先获取信任和访问权限，再转移资金

据Crypto ISAC称，此举源于多起攻击者绕过代码漏洞、耗时数月渗透团队的事件，Drift攻击案就是典型模式。

瑞波与Crypto ISAC发布的细节显示，Drift事件是场长期社会工程攻击：朝鲜相关行为者先与项目贡献者建立信任，再在其系统部署恶意软件。这种访问权限使攻击者能盗取多签钱包资金而不触发常规警报——因为他们并未利用智能合约漏洞。

公告引述安全团队称，此手法与2022至2024年DeFi漏洞攻击浪潮（主要利用代码级漏洞）不同。Drift案例中，攻击者通过招聘流程潜入组织，并在跨团队建立可信身份后从内部作案。

"加密货币领域最强的安全防线是共享防线，"瑞波在X平台声明中表示，并指出被某公司拒绝的威胁行为者往往同一周内会向多家公司重复应聘，若情报未共享就会留下漏洞。

瑞波表示正为Crypto ISAC提供增强型数据集，包括活跃攻击活动相关的域名、钱包地址和入侵指标。这些数据集还包含背景标识符（如领英资料、电子邮箱、电话号码和定位细节），可关联跨企业协同作案的个体。

"Crypto ISAC新升级的API标志着生态情报共享迈出重要一步，"瑞波品牌安全与情报总监艾琳·普兰特表示，该集成使瑞波能将"更高质量、更具可操作性的情报"直接纳入安全工作流。

Crypto ISAC称其新API旨在标准化Web2与Web3系统间的情报传输，使企业能实时响应高置信度威胁数据。Coinbase等早期采用者已开始将该系统整合至业务中。

"加密货币威胁情报的最大挑战是 bridging 原始信号与运营决策间的鸿沟，"Coinbase首席信息安全官杰夫·伦格霍夫指出，更新后的数据模型在提升实时响应能力的同时，保留了上下文关联与置信度。

安全响应伴随法律争议

与此同时，美国司法程序中开始出现同批威胁行为者的活动。代表朝鲜恐怖主义受害者的律师已向Arbitrum DAO发出限制令通知，主张4月Kelp漏洞攻击后被冻结的30,765枚ETH根据美国执法法律应属朝鲜关联财产。

Aave对此提出异议，在文件中称窃贼无法获得赃物的合法所有权，支持Arbitrum对冻结资金的立场。

安全公司的公开归因将Drift事件与Kelp攻击均关联至 Lazarus 集团，两起事件合计损失在一个月内超5亿美元。

"情报共享长期被视为可选动作，如今已是安全防护的金标准，"Crypto ISAC执行董事贾斯汀·博恩评价道，称瑞波的贡献是将共享情报转化为可执行防御策略的范例。

Crypto ISAC表示该模式成效取决于企业对共享情报的响应速度，因威胁行为者仍在同时跨多个组织作案。