Drift Protocol’de 280 Milyon Dolarlık Hack: Kuzey Koreli IT Ağı ve 7 Yıllık DeFi Sızma Operasyonu İddiası

Drift Protocol saldırısının arkasında Kuzey Koreli hackerlar olduğu iddia ediliyor… 7 yıllık ‘sızma operasyonu’ şüphesi

Drift Protocol’de yaşanan 280 milyon dolarlık saldırının, basit bir *fon hırsızlığı* olmanın ötesinde, Kuzey Kore bağlantılı hackerlar ve IT personelinin *yıllara yayılan sızma operasyonu* ile bağlantılı olduğu öne sürüldü. Kripto para sektöründe farklı şirketlere yıllarca ‘sahte kimlikle’ işe girildiğine dair iddialar gündeme gelirken, *güvenlik açıkları* yeniden tartışma konusu oldu.

Metamask geliştiricisi ve güvenlik araştırmacısı Taylor Monahan, 6’sında (yerel saatle) Kuzey Koreli IT çalışanlarının 40’tan fazla *merkeziyetsiz finans(DeFi) platformuna* sızdığını açıkladı. Bunların bir kısmının sektörde iyi bilinen projeler olduğu, ilk sızma girişimlerinin ise DeFi ekosisteminin hızla büyüdüğü *2020 civarına*, yani ‘DeFi Summer’ dönemine kadar uzandığı belirtiliyor. Monahan, bu kişilerin özgeçmişlerinde yer alan *“7 yıllık blokzincir geliştirme deneyimi”* ifadesinin uydurma olmadığını, gerçekten protokol geliştirme süreçlerine dahil oldukları örnekler bulunduğunu vurguladı. Yani dışarıdan bakıldığında normal birer geliştirici gibi görünseler de, perde arkasında *uzun vadeli sızma stratejisi* ile hareket ettikleri iddia ediliyor.

Kuzey Kore devlet destekli siber saldırı grubu olarak bilinen *Lazarus Group(라자루스 그룹)*’un, 2017’den bu yana kripto para ekosisteminden yaklaşık *7 milyar dolar* çaldığı tahmin ediliyor. Bu rakam, kripto odaklı analiz yapan içerik ağı R3ACH’in çalışmalarına dayanıyor. Öne çıkan vakalar arasında 2022’de Ronin Bridge’te gerçekleşen *625 milyon dolarlık saldırı*, 2024’te WazirX borsasının uğradığı *235 milyon dolarlık hack* ve 2025’te Bybit’ten çalınan *1,4 milyar dolar* bulunuyor. Bu zincirleme mega saldırılar, *kripto para güvenliğinin yapısal olarak hâlâ zayıf* olduğunu gösteren somut örnekler olarak değerlendiriliyor.

Drift Protocol olayı ise kullanılan yöntem nedeniyle ayrıca dikkat çekti. Protokol ekibine göre, kritik görüşmelerde karşılarına çıkan kişiler doğrudan Kuzey Kore pasaportu taşıyan isimler değildi. Yüz yüze toplantılar ve resmi temaslar, *üçüncü taraf aracı kişiler* üzerinden yürütüldü. Saldırganlar sahte kimlikler, manipüle edilmiş iş tecrübeleri ve özenle kurgulanmış profesyonel bağlantılarla sahneye çıktı. Bu durum, artık sadece *teknik exploit*’lerin değil, *“insan” üzerinden yürütülen sosyal mühendislik ve işe sızma taktiklerinin* de son derece rafine hale geldiğine işaret ediyor.

Blokzincir araştırmacısı *ZachXBT*, söz konusu sızma taktiklerinin sanıldığı kadar karmaşık olmadığını vurguladı. Onun değerlendirmesine göre, *LinkedIn üzerinden temas kurma, çevrim içi mülakatlar ve standart işe alım süreçleri* teknik açıdan sofistike değil; ancak yeterince ısrarlı ve sistematik şekilde tekrarlandığında şirketlerin savunmasını kırabiliyor. ZachXBT, *“2026’ya geldiğimizde hâlâ bu yöntemlere kanıyorsanız, bu noktada bu daha çok şirketin kendi dikkatsizliği olur”* yorumunu yaptı. Ayrıca, ABD Hazine Bakanlığı’na bağlı *Yabancı Varlıklar Kontrol Ofisi(OFAC)* yaptırım listelerinin işe alım ve iş ortaklığı süreçlerinde mutlaka taranması gerektiğini, *IT personeli sahtekârlığı* ile bağlantılı örüntülerin şirket içi prosedürlere entegre edilmesinin şart olduğunu söyledi.

Tüm bu tablo, *büyük çaplı hack olaylarının yalnızca akıllı kontrat veya kod açığı meselesi olmadığını* bir kez daha ortaya koyuyor. Uzmanlar, kripto para ve DeFi ekosisteminin benzer saldırıları önlemek için yalnızca *akıllı kontrat güvenliğine* odaklanmakla yetinemeyeceğini belirtiyor. *“Güçlü güvenlik”* için, işe alım süreçlerinden tedarikçi ve iş ortağı denetimine, yüz yüze kimlik teyidinden düzenli arka plan kontrollerine kadar *tüm iç kontrol mekanizmalarının* sıkılaştırılması gerektiği yönünde uyarılar artıyor.