Haberler 
Coin Bilgisi 
Hakkımızda 
Drift Protocol(Drift) saldırısı, basit bir akıllı kontrat açığından çok daha fazlasıydı. Yaklaşık 270 milyon dolar(‘yaklaşık 4.077 milyar won’) çalınan olay, ‘6 ay boyunca adım adım planlanan bir sızma operasyonu’ olarak tanımlanıyor ve Kuzey Kore bağlantılı bir hacker grubu saldırının arkasındaki ana aktör olarak öne çıkıyor. ‘DeFi güvenliği’, ‘sosyal mühendislik’ ve ‘multisig riskleri’ bu vakayla yeniden gündeme geldi.
Drift ekibinin yayımladığı olay raporuna göre saldırının başlangıcı, 2025 sonbaharında düzenlenen büyük bir kripto konferansına dayanıyor. Saldırganlar burada kendilerini ‘nicel (quant) trading şirketi’ olarak tanıttı ve Drift ile iş birliği teklif etti.
Saldırı aktörleri hem teknik bilgi düzeyi hem de geçmiş deneyim açısından ikna edici bir profil sundu. Ardından Telegram üzerinden aylarca ‘strateji tartışmaları’ ve ‘kasalar (Vault) ile entegrasyon’ odaklı görüşmeler yürüttüler. Süreç, dışarıdan bakıldığında standart bir DeFi ortaklık ve entegrasyon süreciyle neredeyse aynıydı.
2025 Aralık ile 2026 Ocak arasında bu grup, Drift ekosistemine doğrudan dahil oldu. 1 milyon doların(‘yaklaşık 1,5 milyar won’) üzerinde fon yatırarak ‘ekosistem kasası’ yönettikleri ve ekosistemde fiilen aktif rol aldıkları belirtiliyor.
2026 Şubat ve Mart döneminde ise saldırganların, farklı ülkelerdeki çeşitli konferanslarda Drift ekibiyle ‘yüz yüze’ görüştüğü raporlandı. 1 Nisan’da saldırı başlatıldığında taraflar arasındaki ilişki ‘neredeyse 6 aydır’ devam eden, güven inşa edilmiş bir iş birliği görünümündeydi.
Saldırı iki ana kanaldan ilerledi: geliştirme ortamı ve mobil cihazlar. İlk aşamada hedef, geliştirici ortamı oldu. Grup, GitHub üzerinden kod deposu paylaşımı yaparak sözde ‘iç kod incelemesi’ teklif etti. Bu süreçte açılan projeler ve dosyalar üzerinden kötü amaçlı kodun çalıştırılması amaçlandı.
Özellikle VSCode ve Cursor üzerinde daha önce raporlanan kritik güvenlik açıklarının kullanıldığı düşünülüyor. Bu açıklar, 2025 sonundan bu yana siber güvenlik sektöründe ‘sadece dosya veya klasör açma’ eylemiyle, ek bir uyarı almadan kod çalıştırılmasına izin veren ‘kritik zafiyet’ olarak uyarı konusu olmuştu.
İkinci kanal ise mobil taraftı. Saldırganlar, Apple’ın TestFlight platformu üzerinden deneme amaçlı bir cüzdan uygulaması dağıttı. Bazı kullanıcılar bu cüzdanı yüklediğinde, cihazlara verilen geniş erişim izinleri aracılığıyla saldırganların ‘cihaz kontrolü’ elde ettiği değerlendiriliyor.
Cihazların ele geçirilmesinin ardından saldırganlar, Drift’in multisig yapısına sızarak onay yetkilerini de kontrol altına aldı. Drift’in aktardığına göre saldırganlar, önceden imzalanmış işlemleri ‘bir hafta boyunca bekleme halinde’ tuttu ve 1 Nisan’da, yalnızca ‘1 dakika içinde’ bu işlemleri toplu şekilde tetikledi.
Bu kısa zaman aralığında protokol kasalarından yaklaşık 270 milyon dolar değerinde varlık çekildi. ‘Multisig güvenliği’ açısından bekleme süresi ve eşik imza modeli, bu saldırıda neredeyse tamamen devre dışı bırakılmış oldu.
Uzmanlara göre olay, basit bir akıllı kontrat bug’undan ziyade ‘güvene dayalı uzun vadeli sızma’ ve ‘ileri seviye sosyal mühendislik’ kombinasyonu olarak öne çıkıyor. ‘Teknoloji değil, insan’ hedef alınarak, DeFi’nin en kritik yönetişim mekanizmalarından biri içeriden çökertildi.
Saldırının arkasında ise Kuzey Kore bağlantılı ‘UNC4736’ grubunun bulunduğu öne sürülüyor. Aynı grup ‘AppleJeus’ ve ‘Citrine Sleet’ isimleriyle de biliniyor.
On-chain fon hareketlerinin geçmişteki Radiant Capital saldırısıyla benzerlik göstermesi ve operasyonel kalıpların daha önce Kuzey Kore bağlantılı gruplara atfedilen yöntemlerle uyuşması, ana kanıtlar olarak paylaşıldı.
Buna rağmen konferanslarda bizzat görülen kişilerin ‘Kuzey Kore pasaportuna sahip olmadığı’ da tespit edildi. Rapor bu noktada şöyle bir yorum getiriyor: “Bu düzeydeki saldırı gruplarının, farklı ülkelerde kimliklendirilmiş, iyi hazırlanmış aracı profilleri kullanması olağan bir pratik.” *yorum*
Drift, yaşananların ardından diğer DeFi protokollerine açık bir uyarıda bulundu. Ekip, ‘erişim yetkisi yönetimi’ ve ‘cihaz güvenliği’ konularında kapsamlı bir denetim yapılmasını önerdi. Özellikle multisig yapısında yer alan tüm katılımcıların cihazlarının ‘doğrudan hedef’ kabul edilmesi gerektiğinin altını çizdi.
Bu olay, DeFi sektörünün yıllardır dayandığı multisig tabanlı yönetişim modeline de ‘temel bir soru’ yöneltiyor: Saldırgan bir grup, 6 ay boyunca gerçek bir kurum gibi davranıp sermaye koyarak ekosisteme içeriden sızabiliyorsa, bugünkü güvenlik yaklaşımlarıyla bu tür tehditlerin erken tespiti mümkün mü?
Sonuç olarak Drift saldırısı, akıllı kontrat kodundan çok ‘insan ilişkileri ve güvenin’ hedef alındığı, sofistike bir operasyon olarak tarihe geçti. ‘Sosyal mühendislik’, ‘uzun vadeli kimlik inşası’ ve ‘cihaz seviyesinde ele geçirme’ birleştiğinde, en sıkı multisig yapılarının bile nasıl devre dışı kalabileceğini gösteren çarpıcı bir örnek oluşturdu.
Yorum 0