Ripple deelt Noord-Koreaanse dreigingsdata met cryptosector via Crypto ISAC

Ripple gaat interne dreigingsinformatie over Noord-Koreaanse hackers delen met de rest van de cryptosector. Het bedrijf doet dat via Crypto ISAC, een non-profitorganisatie voor informatie-uitwisseling in de sector. Volgens Crypto ISAC gaat het om data zoals fraudedomeinen, walletadressen, indicators of compromise en verrijkte profielen van vermoedelijke Noord-Koreaanse it’ers die proberen binnen te komen bij cryptobedrijven.

Dat maakt deze stap relevanter dan een gewone security-update. Ripple deelt hier niet simpelweg een standaard threat feed, maar juist context die andere securityteams meteen kunnen gebruiken. Crypto ISAC zegt dat zulke profielen verder gaan dan een naam alleen en ook signalen kunnen bevatten zoals LinkedIn-profielen, e-mailadressen, locaties, telefoonnummers en koppelingen met bredere campagnes.

Precies daar zit de echte nieuwswaarde. Crypto ISAC beschrijft een dreigingsbeeld waarin Noord-Koreaanse actoren niet alleen zoeken naar een technische fout, maar zich ook langzaam inwerken via vertrouwen, sollicitaties, contractors en langdurige social engineering. De organisatie noemt de Drift-hack daarbij een wake-upcall voor de hele sector.

Volgens de uitleg van Crypto ISAC begon die aanval niet met een klassiek lek in een smart contract, maar met maandenlange benadering van mensen rond het protocol. TRM Labs schrijft daarnaast dat de Drift-aanval op 1 april ongeveer $285 miljoen kostte en dat de KelpDAO-exploit op 18 april nog eens circa $292 miljoen omvatte. Samen waren die twee incidenten volgens TRM goed voor ongeveer 76% van alle cryptohack-verliezen in 2026 tot en met april.

Die verhouding zegt genoeg. Het gaat niet om een stortvloed aan kleine aanvallen, maar om een klein aantal heel gerichte operaties met buitenproportionele schade. TRM Labs schrijft zelfs dat Noord-Korea’s aandeel in cryptohack-verliezen in 2026 tot en met april het hoogste niveau tot nu toe bereikte.

Crypto ISAC benadrukt dat Ripple’s bijdrage juist waardevol is omdat de data meteen bruikbaar wordt gemaakt voor andere leden. De organisatie heeft daarvoor een nieuwe API gelanceerd die informatie uit Web2- en Web3-indicatoren samenbrengt in een formaat dat direct in security-operaties kan worden ingelezen. Ripple, Coinbase en andere oprichtende leden behoren volgens Crypto ISAC tot de eerste bedrijven die die infrastructuur gebruiken.

Dat klinkt technisch, maar de kern is simpel. Een verdachte die bij het ene bedrijf afvalt, kan volgens Crypto ISAC in dezelfde week bij meerdere andere partijen opduiken. Zonder gedeelde informatie begint elk bedrijf dan weer vanaf nul. Met gedeelde context kan zo’n patroon veel eerder worden herkend.

Daarmee raakt Ripple een groter probleem in crypto. Zolang dreigingsinformatie vooral binnen de muren van één bedrijf blijft, houden aanvallers ruimte om elders opnieuw te beginnen. Crypto ISAC noemt informatie-uitwisseling daarom niet langer optioneel, maar de nieuwe standaard voor beveiliging.

De impact van die Noord-Koreaanse operaties is bovendien niet alleen technisch, maar ook juridisch en bestuurlijk nog volop voelbaar. Arbitrum meldde op 21 april dat zijn Security Council ruim 30.765 ETH had bevroren die in verband werd gebracht met de KelpDAO-exploiter. Om dat geld vrij te geven, is vervolgens governance-actie nodig.

Die bevroren pot ligt inmiddels ook in de rechtbank. Decrypt meldde op 4 mei dat Aave bij een federale rechtbank in New York heeft gevraagd om ongeveer $71 miljoen aan bevroren crypto vrij te geven, omdat die fondsen volgens Aave toebehoren aan gebruikers en nodig zijn voor herstel van de schade na de exploit.

Dat onderstreept hoe breed de gevolgen inmiddels zijn. Een aanval eindigt niet meer bij de diefstal zelf, maar sleept zich door naar governance, hersteloperaties, rechtszaken en de vraag wie precies over teruggehaalde fondsen mag beslissen.

Juist daarom is Ripple’s stap belangrijker dan het op het eerste gezicht lijkt. Het bedrijf zegt hiermee eigenlijk dat de huidige dreiging te groot en te slim is geworden om nog als individueel bedrijfsprobleem te behandelen. Wie deze aanvallen wil afremmen, moet sneller informatie delen over mensen, wallets, infrastructuur en aanvalspatronen.

Voor de cryptosector is dat misschien wel de belangrijkste les van dit moment. De volgende grote aanval komt mogelijk niet meer alleen via code, maar via vertrouwen, toegang en tijd. En precies daarom verschuift beveiliging nu van alleen beschermen naar ook samen signaleren.