Haberler 
Coin Bilgisi 
Hakkımızda 
Kuzey Kore bağlantılı hacker gruplarının kripto para ekosisteminde adeta ‘sanayileşmiş bir hırsızlık modeli’ kurduğu ve bunu devlet düzeyinde kritik bir gelir kanalına dönüştürdüğü uyarısı yapıldı. CertiK Research’ün yayımladığı son rapora göre Kuzey Kore bağlantılı yapılar, 2016’dan 2026’nın başına kadar doğrulanan 263 olayda yaklaşık 6,75 milyar dolarlık kripto varlığı ele geçirdi. Sadece 2025 verileri bile tablonun ne kadar çarpıcı olduğunu gösteriyor. Toplam 656 güvenlik olayının yalnızca 79’u bu gruplarla ilişkilendirilse de, 2,06 milyar dolarlık kayıpla toplam zararın yaklaşık yüzde 60’ı bu saldırılardan kaynaklandı. Bu da tehdit düzeyinin saldırı sayısından çok, ‘yüksek hassasiyetli hedef seçimi’ ve ‘büyük ölçekli varlığa odaklı operasyonlar’ ile büyüdüğünü ortaya koyuyor.
CertiK Research’e göre mesele artık sıradan bir siber suç başlığı değil. Raporda, Kuzey Kore’nin kripto para saldırılarını yaptırımları aşmak ve kitle imha silahı programlarına kaynak yaratmak için yürüttüğü stratejik bir siber operasyon alanına dönüştürdüğü belirtiliyor. Uluslararası yaptırımlar nedeniyle döviz erişimi zorlaştıkça, sınır ötesinde kolayca taşınabilen dijital varlıklar fiilen yeni bir finansman aracı haline geldi. Raporda Birleşmiş Milletler ve ABD istihbarat kurumlarının değerlendirmelerine atıf yapılarak, çalınan kripto varlık gelirlerinin Kuzey Kore’nin nükleer silah ve balistik füze programlarıyla doğrudan bağlantılı olduğu vurgulandı.
Son dönemde zarar boyutu daha da artmış durumda. 2026’nın ocak ayından bu yana kripto para ekosisteminde 185 güvenlik ihlali tespit edildi ve toplam kayıp yaklaşık 1,1 milyar dolar olarak hesaplandı. Bunun 620,9 milyon dolarlık kısmı Kuzey Kore bağlantılı saldırılar kategorisinde yer aldı. Yani toplam zararın yaklaşık yüzde 55’i bu gruplardan geldi. Büyük olay sayısı sınırlı görünse de, tek bir başarılı ihlalin piyasa genelinde çok daha ağır sonuçlar doğurabildiği anlaşılıyor.
Raporda dikkat çeken en önemli noktalardan biri, bu yapıların çoğu zaman yazılımdan önce insanı hedef alması. En baskın saldırı vektörü olarak sosyal mühendislik gösteriliyor. Sahte girişim sermayesi teklifleri, düzmece işe alım görüşmeleri, zararlı yazılım içeren teknik testler ve kılık değiştirmiş görüntülü toplantı bağlantıları üzerinden geliştiricilerin ve şirket çalışanlarının güveni kazanılıyor. Ardından sistem erişimi ele geçiriliyor. Değerlendirmeye göre saldırganlar, akıllı sözleşme açıklarını istismar etmekten çok insan psikolojisini, iş akışlarını ve tedarik zincirindeki zayıf halkaları kullanıyor.
Kuzey Kore bağlantılı kümelerin görev bazlı ayrıştığı da belirtiliyor. Kurucuları ve yüksek varlıklı kişileri hedef almak için girişim sermayesi fonu ya da yatırımcı gibi davranan ‘SquidSquad’, büyük borsalar ve altyapı şirketlerinin teknik ekiplerine odaklanan ‘TraderTraitor’, sahte iş görüşmeleri ve zararlı kod depolarıyla geliştiricileri enfekte eden ‘Contagious Interview’ ve truva atına dönüştürülmüş alım satım uygulamaları dağıtan ‘AppleJeus’ en bilinen örnekler arasında sıralanıyor. Buna ek olarak sahte kimliklerle Batılı şirketlerin uzaktan çalışma pozisyonlarına sızan Kuzey Koreli IT çalışanlarının da tabloyu daha karmaşık hale getirdiği ifade ediliyor.
Organizasyonun ölçeği de küçük değil. Rapora göre Lazarus, Pyongyang’daki Keşif Genel Bürosu bünyesinde faaliyet gösteren birden fazla siber saldırı birimini kapsayan geniş bir tanım olarak kullanılıyor. Açık kaynak verilerine göre toplam insan kaynağı yaklaşık 7 bin kişi seviyesinde tahmin ediliyor. Bu ekipler uzun çalışma saatleri, sıkı operasyon disiplini ve düşük görünürlük prensibiyle hareket ediyor. İlk aşamadaki zararlı yazılımlar genellikle basit ve gözden çıkarılabilir yapıda hazırlanıyor. Ancak hedefin yüksek değerli olduğu kanaatine varıldığında daha gelişmiş yükler devreye sokuluyor. Böylece tespit edilme riski azaltılıyor.
Saldırı modelinin zamanla belirgin biçimde değiştiği de görülüyor. İlk yıllarda Güney Kore’deki devlet kurumları ve finans kuruluşlarına yönelik DDoS ve yıkıcı saldırılar öne çıkıyordu. Ardından hedef geleneksel finans altyapısına kaydı. 2017 sonrasında borsa sıcak cüzdanlarına yönelik operasyonlar hız kazandı. 2020’lerle birlikteyse odak, merkeziyetsiz finans protokolleri ve zincirler arası köprülere yöneldi. Son dönemde ise üçüncü taraf çözümler üzerinden dolanılan tedarik zinciri saldırılarıyla fiziksel temas içeren sızma girişimlerinin birleştiği görülüyor. Rapora göre bu değişim, savunma sistemleri güçlendikçe saldırganların daha fazla zaman, kaynak ve kamuflaj kullandığını gösteriyor.
Öne çıkan vakalardan biri 2022’deki Ronin Bridge saldırısı oldu. Axie Infinity ekosistemini destekleyen Ronin Network, LinkedIn işe alım uzmanı kılığına giren saldırganların hedefi oldu. Bir mühendisin zararlı PDF dosyasını indirmesiyle iç ağ ihlal edildi. Sonrasında saldırganlar 9 doğrulayıcıdan 5’inin yetkisini ele geçirdi ve 173 bin 600 Ethereum(ETH) ile 25,5 milyon dolar değerinde USD Coin(USDC) çaldı. Yaklaşık 624 milyon dolarlık zarar, o dönem için sektör tarihinin en büyük saldırılarından biri olarak kayda geçti.
2025’in şubat ayında yaşanan Bybit saldırısı ise tedarik zinciri riskini daha görünür hale getirdi. CertiK Research’e göre saldırganlar önce Bybit’in kullandığı Safe çoklu imza cüzdan altyapısına bağlı geliştirici cihazını ele geçirdi. Ardından AWS oturum token’ı çalınarak çok faktörlü doğrulama aşıldı. Sonraki aşamada kullanıcı arayüzü manipüle edildi ve işlemler normal para transferi gibi gösterildi. İmza yetkisi bulunan kişiler de süreci rutin bir onay mekanizması sanarak zararlı işlemlere imza attı. Sonuçta 1,4 milyar doların üzerinde varlık sistem dışına çıktı ve bu olay kripto para sektörünün en büyük saldırılarından biri haline geldi.
2026 nisanında yaşanan Drift Protocol vakası da yeni bir dönüm noktası olarak sunuluyor. Solana(SOL) tabanlı merkeziyetsiz borsa Drift Protocol’de yaklaşık 285 milyon dolarlık izinsiz çekim gerçekleşti. Rapora göre saldırgan yalnızca anahtar çalmakla yetinmedi. Düşük likiditeli token piyasalarında yapay fiyat şişirmesi yapıldı, sahte teminat zemini oluşturuldu ve protokoldeki çekim koruma katmanları devre dışı bırakıldı. Buna önceden imzalanmış işlem yapıları ve yönetişim yetkisi transferi de eklenince, birkaç dakika içinde büyük bir likidite çıkışı yaşandı. Raporda özellikle, uzun süreli fiziksel güven ilişkisi kuran kişinin Kuzey Kore vatandaşı değil, üçüncü taraf bir aracı olduğuna dikkat çekiliyor. Bu detay, tehdidin dijital sınırların dışına taştığını gösteriyor.
Çalınan fonların aklanma tarafı da giderek daha sofistike hale geliyor. Rapor, Bybit saldırısından sonraki bir ay içinde çalınan Ethereum(ETH) varlıklarının yüzde 86,29’unun Bitcoin(BTC)’e çevrildiğini aktarıyor. Bu süreçte karıştırma servisleri, zincirler arası köprüler, merkeziyetsiz borsalar, OTC brokerları ve küçük parçalara bölünmüş hesap ağları birlikte kullanıldı. Tek bir yönteme bağlı kalınmaması, iz sürmeyi ve varlık dondurmayı daha zor hale getiriyor.
Üstelik yeni teknikler yalnızca para aklama ile sınırlı değil. Son dönemde kamuya açık blokzincirlerin komuta kontrol altyapısı gibi kullanıldığı ‘EtherHiding’ yöntemine de dikkat çekiliyor. Bu modelde zararlı yükler, akıllı sözleşme işlem verilerinin içine gizleniyor ve salt okunur çağrılarla çekiliyor. Böyle bir yapıda merkezi sunucuların kapatılması gibi klasik önlemler etkisini büyük ölçüde yitiriyor. Bu da kolluk kuvvetleri ve siber güvenlik şirketleri için yeni bir mücadele alanı yaratıyor.
Piyasa etkisi de yalnızca doğrudan mağdur şirketlerle sınırlı kalmıyor. Rapora göre Bybit saldırısının ardından aklama sürecinde oluşan yoğun satış baskısı yüzünden Ethereum(ETH) fiyatı yaklaşık yüzde 4,2 geriledi. Yani zarar sadece saldırıya uğrayan borsa ya da protokolle sınırlı değil. İlgili DeFi platformlarına fon sağlayan projeler, yatırımcılar ve bağlantılı piyasa yapıları da zincirleme biçimde etkileniyor. Bu nedenle güvenlik ihlalleri artık tekil şirket sorunu değil; piyasa güveni, düzenleyici maliyetler, likidite ve fiyat istikrarı üzerinde etkili yapısal bir risk olarak görülüyor.
Uluslararası tarafta ise koordinasyon çabaları artıyor. ABD, Güney Kore ve Japonya’nın dahil olduğu çok taraflı yaptırım izleme ekibi MSMT, Kuzey Koreli IT çalışanlarına yönelik yaptırımların genişletilmesi, stabil kripto para ihraççılarının dondurma mekanizmalarının güçlendirilmesi ve Güneydoğu Asya’daki gölge finans ağlarına karşı operasyonlar bu çerçevede öne çıkıyor. Buna rağmen bazı merkeziyetsiz servislerin fon dondurma taleplerine yanaşmaması ve jeopolitik gerilimlerin soruşturma iş birliğini sınırlaması nedeniyle sonuçların hâlâ yetersiz kaldığı ifade ediliyor.
Raporda savunma tarafı için de bir dizi öneri yer alıyor. Bunlar arasında sıkı kimlik doğrulama süreçleri, sıfır güven temelli işe alım politikaları, LinkedIn ve Discord gibi iletişim kanallarına özel güvenlik eğitimi, çekim gecikmesi ve devre kesici mekanizmaları, zaman kilitli yönetişim yapıları ve hava boşluklu donanım güvenlik modülü kullanımı bulunuyor. Ana mesaj net: Yalnızca akıllı sözleşme denetimini artırmak yetmiyor. İnsan kaynağından günlük operasyon akışına, üçüncü taraf teknolojilerden fiziksel temas riskine kadar çok katmanlı bir savunma modeli gerekiyor.
CertiK Research, 2026 sonrasında tehdidin daha da karmaşık hale geleceğini düşünüyor. Rapora göre AI destekli sosyal mühendislik yöntemleri, Kuzey Koreli IT çalışanlarının sektör geneline daha derin sızması, yeni zincirler arası aklama rotaları ve VSCode gibi geliştirici araçlarının kötüye kullanılması önümüzdeki dönemin başlıca riskleri olacak. Kısacası ‘Kuzey Kore hack’ tehdidi artık geçici bir güvenlik sorunu değil, kripto para sektörünün yapısal olarak yönetmek zorunda olduğu kalıcı bir risk alanı. CertiK Research, Kuzey Kore’nin kripto para hırsızlığını rejimin devamı için vazgeçilmez bir gelir aracına dönüştürdüğünü ve bu nedenle asıl sorunun saldırının olup olmayacağı değil, ‘ne zaman’ ve ‘hangi yöntemle’ gerçekleşeceği olduğunu söylüyor.
Yorum 0