Kuzey Kore'den Drift'e Yarım Yıllık Siber Tuzak: 270 Milyon Dolarlık Soygun
Kripto para dünyası, dijital varlıkların hızla yükselişiyle birlikte siber saldırıların da hedefi haline geliyor. Ancak son yaşanan bir olay, saldırganların ne denli sabırlı, organize ve sofistike yöntemler kullanabileceğini gözler önüne serdi. Popüler DeFi protokolü Drift Protocol, aylarca süren karmaşık bir istihbarat operasyonunun ardından tam 270 milyon dolarlık devasa bir vurguna maruz kaldı. Şok edici olan ise, bu saldırının arkasında Kuzey Kore devletiyle bağlantılı bir grubun bulunması ve operasyonun tam altı ay süren titiz bir hazırlık aşamasına dayanmasıydı. Kripto ekosisteminde güveni sarsan bu olay, güvenlik mekanizmalarının yeniden sorgulanmasına yol açıyor.
Gölge Operasyon: Dijital Köstebekler Nasıl Sızdı?
Her şey 2025 yılının sonbaharında, büyük bir kripto konferansında başladı. Kuzey Koreli hacker grubu, kendilerini saygın bir kantitatif işlem firması olarak tanıttı ve Drift Protocol ekibiyle iletişim kurdu. Bu kişiler, protokolün işleyişini anlayan, teknik açıdan yetkin ve doğrulabilir profesyonel geçmişlere sahip görünüyorlardı. Amaçları, Drift ekosistemine entegre olmak ve zamanla güven inşa etmekti. Bir Telegram grubu üzerinden aylarca süren yoğun görüşmeler gerçekleştirdiler. İşlem stratejileri ve kasa entegrasyonları gibi konularda, normalde bir işlem firmasının DeFi protokolüne katılımı sırasında beklenen türden, "gerçek" etkileşimler yaşandı.
Operasyonun ikinci aşaması, 2025 Aralık ve 2026 Ocak ayları arasında gerçekleşti. Saldırganlar, Drift üzerinde bir "Ecosystem Vault" (Ekosistem Kasası) oluşturdular, protokolün geliştiricileriyle defalarca çalışma toplantıları yaptılar ve hatta 1 milyon doların üzerinde kendi sermayelerini yatırarak ekosistem içinde işleyen bir varlık gösterdiler. 2026 Şubat ve Mart aylarında ise, farklı ülkelerdeki önemli endüstri konferanslarında Drift ekibiyle yüz yüze görüşmeler gerçekleştirdiler. Saldırı 1 Nisan'da gerçekleştiğinde, bu sahte ilişki neredeyse yarım yıldır devam ediyordu. Bu durum, siber suçluların sadece teknolojik değil, aynı zamanda sosyal mühendislik becerilerinin de ne kadar geliştiğini kanıtladı.
Sinsi Vektörler: Güvenlik Açıkları Nasıl Kullanıldı?
Bu karmaşık saldırı, iki ana güvenlik vektörü üzerinden gerçekleştirildi. İlk olarak, saldırganlar kendi "cüzdan ürünleri" olarak tanıttıkları bir TestFlight uygulamasını indirmeleri için bazı Drift çalışanlarını ikna etti. Apple'ın uygulama öncesi dağıtım platformu olan TestFlight, App Store güvenlik incelemesini atlayarak uygulamaların dağıtılmasına olanak tanır. Bu sayede, kötü amaçlı yazılım içeren uygulama, güvenlik duvarlarını aşarak hedef cihazlara sızdı.
İkinci ve daha sinsi vektör ise yazılım geliştirme dünyasında yaygın olarak kullanılan VSCode ve Cursor gibi kod düzenleyicilerdeki bilinen bir güvenlik açığıydı. Güvenlik topluluğu tarafından 2025 sonlarından beri dile getirilen bu açık, basitçe bir dosya veya klasörün düzenleyicide açılmasıyla, hiçbir uyarı veya onay gerektirmeden rastgele kod yürütülmesine olanak tanıyordu. Bu kritik açık sayesinde, saldırganlar Drift'in geliştirici cihazlarına derinlemesine nüfuz etmeyi başardılar. Cihazlar ele geçirildikten sonra, saldırganlar, CoinDesk'in daha önce detaylandırdığı "kalıcı nonce" saldırısını gerçekleştirmek için gerekli olan iki çoklu imza (multisig) onayını ele geçirebildiler. Bu önceden imzalanmış işlemler, bir haftadan fazla bir süre bekletildikten sonra 1 Nisan'da harekete geçirildi ve Drift Protocol'ün kasalarından 270 milyon dolardan fazlası bir dakikadan kısa sürede boşaltıldı.
Kuzey Kore Bağlantısı: Kimlik Hırsızlığının Boyutları
Saldırının sorumluluğu, UNC4736 olarak bilinen, aynı zamanda AppleJeus veya Citrine Sleet adlarıyla da takip edilen Kuzey Kore devletiyle bağlantılı bir gruba atfedildi. Bu bağlantı, hem zincir üstü fon akışlarının Radiant Capital saldırganlarına kadar izlenmesi hem de bilinen Kuzey Kore bağlantılı kişiliklerle operasyonel örtüşmeler sayesinde doğrulandı. Ancak burada dikkat çekici bir detay var: Konferanslarda yüz yüze görünen kişiler Kuzey Kore vatandaşı değildi. Bu düzeydeki Kuzey Koreli tehdit aktörlerinin, özenli incelemelere dayanabilecek, tamamen oluşturulmuş kimliklere, istihdam geçmişlerine ve profesyonel ağlara sahip üçüncü taraf aracıları kullandığı biliniyor. Bu durum, siber saldırıların uluslararası alanda ne kadar karmaşık ve vekaleten yürütülebildiğinin ürkütücü bir göstergesi.
Kripto Dünyasına Uyarı: Güvenlik Paradigması Sarsılıyor mu?
Drift Protocol ekibi, diğer protokolleri erişim kontrollerini denetlemeye ve çoklu imza (multisig) onaylarını etkileyen her cihazı potansiyel bir hedef olarak görmeye çağırdı. Geniş kapsamlı bu saldırının ortaya çıkardığı en rahatsız edici sonuç, multisig yönetişimini birincil güvenlik modeli olarak kullanan bir endüstri için ciddi sorgulamaları beraberinde getirmesi. Eğer saldırganlar, bir ekosistem içinde meşru bir varlık oluşturmak için altı ay harcamaya, bir milyon dolar yatırım yapmaya, ekiplerle yüz yüze görüşmeye ve sabırla beklemeye istekliyse, o zaman hangi güvenlik modelinin bu türden gelişmiş bir tehdidi yakalamak için tasarlandığı sorusu ortaya çıkıyor. Bu olay, kripto dünyasında güvenlik anlayışının sadece teknik açıkları değil, aynı zamanda insan faktörünü ve sosyal mühendisliği de kapsayacak şekilde derinlemesine yeniden düşünülmesi gerektiğini acı bir şekilde gösteriyor.