Kuzey Koreli Hackerlar DeFi’yi İçeriden Vuruyor: Drift Protocol Saldırısı Kriptoda Ulusal Güvenlik Alarmı Yaktı

Kuzey Kore bağlantılı hacker gruplarının, yıllardır DeFi projelerine ve kripto para şirketlerine sessizce sızdığı yönünde yeni uyarılar gündemde. Son olarak Drift Protocol(‘DRIFT’) saldırısının da bu tabloya eklenmesiyle, kripto para ekosistemindeki ‘içeriden saldırı’ riski, yapısal bir güvenlik açığı olarak öne çıkıyor.

Metamask geliştiricisi ve güvenlik araştırmacısı Taylor Monahan, yakın zamanda sosyal medya platformu X’te paylaştığı gönderide, Kuzey Koreli IT ekiplerinin DeFi’nin ilk dönemlerinden bu yana neredeyse 7 yıldır 40’tan fazla projeye dahil olduğunu söyledi. ‘Kuzey Koreli operatörler’, önce gerçek blokzincir geliştirme tecrübesi elde ediyor, ardından çalıntı veya manipüle edilmiş kimlik bilgileriyle ‘normal işe alım süreçlerinden’ geçerek ekiplere katılıyor. ‘yorum: Bu durum, artık yalnızca dış saldırıların değil, bizzat ekip içinden gelebilecek tehditlerin de ana risk kalemi haline geldiğini gösteriyor.’

Monahan’ın açıklamaları, Solana(SOL) tabanlı DEX toplayıcı Titan’ın geliştiricisi ‘tim’in paylaştığı bir anıya verilen yanıt niteliğindeydi. Tim, geçmişte yaptığı bir mülakatta “şimdiye kadar gördüğü en iyi adaylardan biri” ile karşılaştığını, fakat daha sonra bu kişinin Lazarus(Lazarus) grubuyla bağlantılı olduğunun ortaya çıktığını aktarmıştı. Zincir üstü analizleriyle bilinen ZachXBT ise tartışmaya katılarak, Kuzey Kore’nin finansal siber operasyonlarının yalnızca Lazarus’tan ibaret olmadığını, APT38 ve AppleJeus gibi ekiplerin de ‘Keşif Genel Bürosu’ komutası altında koordineli hareket ettiğini belirtti.

Bu tablo, ABD Hazine Bakanlığı Yabancı Varlıklar Kontrol Ofisi(OFAC) yaptırımları ve Chainalysis verileriyle de destekleniyor. Chainalysis’e göre ‘Kuzey Koreli IT ağı’ 2024 yılı içinde tek başına yaklaşık 800 milyon dolar gelir elde etti. 2017’den bu yana çalınan kripto para miktarının ise ‘milyarlarca dolar’ seviyesine ulaştığı tahmin ediliyor. Uzmanlar, elde edilen bu gelirlerin kitle imha silahları ve füze programlarının finansmanında kullanıldığını değerlendiriyor.

Drift saldırısı, tedarik zinciri ve sosyal mühendislik birleşimiyle ‘içeriden’ geldi

Endişeleri büyüten son olay, 1’inde (yerel saatle) gerçekleşen ve 285 milyon dolar büyüklüğündeki Drift Protocol saldırısı oldu. Drift ekibi, hafta sonu yaptığı açıklamada saldırının arkasında ‘Kuzey Kore bağlantılı hacker’ olduğu yönündeki iddiaları doğruladı ve olayı devlet destekli UNC4736 grubuyla ‘orta seviyede güven’ derecesiyle ilişkilendirdiklerini duyurdu.

Drift’in paylaşımına göre saldırganlar, sahte iş geçmişleri, inandırıcı şekilde hazırlanmış kimlik profilleri ve fiziksel konferanslarda kurulan temaslar üzerinden ekip üyelerinin güvenini kazandı. Ardından Visual Studio Code(VS Code) ve Cursor ayar dosyalarına kötü amaçlı görevler yerleştirerek, geliştiricilerin yerel ortamda çalıştırmak zorunda kalacağı şekilde manipüle edilmiş bir kod deposu ile nihai sızma girişimini gerçekleştirdi. Bu yapı, ‘basit akıllı kontrat açığı’ olmaktan çok, bir tür tedarik zinciri saldırısı olarak değerlendiriliyor.

İki gün sonra Ledger’ın teknoloji şefi Charles Guillemet, kullanılan yöntemin Bybit’te yaşanan 1,4 milyar dolarlık saldırıyla önemli benzerlikler taşıdığına dikkat çekti. Ardından blokzincir analiz şirketi Elliptic, zincir üstü para aklama süreçleri ve ağ göstergelerinin geçmiş Kuzey Kore operasyonlarıyla örtüştüğünü gösteren bir analiz yayımladı. ‘yorum: Farklı platform ve dönemlere yayılan bu benzerlikler, Kuzey Kore kaynaklı saldırıların artık kurumsal bir “operasyon zinciri” haline geldiğine işaret ediyor.’

Kripto para sektöründe artan ‘güvenlik maliyeti’ ve regülasyon baskısı

Son gelişmeler, tekil bir hack vakasının ötesinde, kripto para piyasasının tamamını ilgilendiren bir ‘ulusal güvenlik’ gündemine dönüşmüş durumda. Kuzey Koreli IT ağlarına dönük yaptırım ve denetimler sıkılaşırken, merkezi borsalar ve DeFi projeleri; işe alım süreci, kimlik doğrulama, referans kontrolü ve geliştirme ortamlarının güvenliği gibi başlıklarda çok daha katı standartlarla karşılaşabilir.

Piyasalar cephesinde de kalıcı etkiler doğma ihtimali var. Büyük projelerin devlet bağlantılı siber saldırılara maruz kalması, sigorta maliyetlerini artırabilir, borsalardaki listeleme süreçlerini zorlaştırabilir ve yönetişim toplulukları içinde uzun süren ‘tazminat ve sorumluluk’ tartışmalarını tetikleyebilir. Bu tür belirsizlikler, DeFi tokenları ve türev ürünlerde dalgalanmayı büyüterek ‘riskten kaçış’ davranışını güçlendirebilir.

Öte yandan Bitcoin(BTC), haberin yazıldığı sırada günlük grafikte 69.000 dolar bandında zirve denemesi yapıyor. Kuzey Kore bağlantılı hack haberleri, şu an için fiyat yönünü tek başına değiştiren bir unsur değil. Ancak kripto para sektöründe ‘güvenliğin, doğrudan piyasa güveni’ anlamına geldiğini bir kez daha hatırlatan kritik bir uyarı niteliği taşıyor.