Kuzey Kore'nin Lazarus Group'u ile bağlantılı bilgisayar korsanları, DeFi protokolü KelpDAO'dan çalınan 290 milyon dolarlık kripto parayı Ethereum ve Bitcoin ağları üzerinden aktif olarak aklıyor.
ZachXBT dahil analistler ve Arkham ile PeckShield gibi firmalardan alınan zincir üstü veriler, Salı günü Avrupa çalışma saatlerinde başlayan fon hareketlerini doğruladı.
Blockchain araştırmacılarına göre, aklama süreci Ethereum üzerinde 117 milyon dolar ve 58 milyon dolarlık iki büyük transferi içeriyor; en az 1,5 milyon dolar THORChain aracılığıyla Bitcoin'e köprülenirken, daha küçük miktarlar gizlilik protokolü Umbra üzerinden yönlendiriliyor.
2026'nın en büyük soygunlarından biri olan bu olay, DeFi'deki kalıcı güvenlik risklerini vurguluyor ve fonların kısmen dondurulmasına yol açarak, saldırganların kalan 175 milyon doları güvence altına alınmadan önce taşıması için baskı oluşturuyor.
Derinlemesine İnceleme
Olay, 18 Nisan'da saldırganların likit yeniden stake etme protokolü KelpDAO'yu istismar ederek yaklaşık 290 milyon dolar değerindeki 116.500 rsETH tokenini çekmesiyle başladı. Saldırı vektörü, KelpDAO'nun zincirler arası iletişim için kullandığı LayerZero mesajlaşma protokolündeki sunucuların ele geçirilmesini içeriyordu. Bilgisayar korsanları sahte mesajlar göndererek yasadışı transferi yetkilendirdi. O zamandan beri, LayerZero'nun KelpDAO'nun özel "tekli DVN" güvenlik kurulumunu suçladığı, KelpDAO'nun ise bu nitelemeye itiraz ettiği halka açık bir tartışma ortaya çıktı.
Hırsızlığın ardından saldırganlar sofistike bir aklama operasyonu başlattı. THORChain gibi zincirler arası köprülerin ve Umbra gibi gizlilik araçlarının kullanıldığı teknikler, daha önce Lazarus Group'a atfedilen yöntemlerle tutarlılık gösteriyor. Operasyon, fonların bölünmesini ve kökenlerini gizlemek için birden fazla kanal üzerinden taşınmasını içeriyor.
Önemli bir müdahale olarak, Arbitrum Güvenlik Konseyi kolluk kuvvetlerinden gelen bilgiler doğrultusunda hareket ederek, soygunla bağlantılı 30.766 ETH'yi (71 milyon dolardan fazla) kendi ağından dışarı köprülenmeden önce dondurdu. Bu eylem, fonların önemli bir kısmının kurtarılması nedeniyle bazıları tarafından övülürken, katman-2 ekosistemlerindeki merkezileşme düzeyi ve acil durum yetkileri hakkında tartışmalara da yol açtı.
Sırada Ne Var?
Kısmi dondurma işlemi saldırganları köşeye sıkıştırmış görünüyor ve kalan 175 milyon doları aklama çabalarını hızlandırıyor. Zincir üstü veriler, fonların aktif olarak Ethereum'dan Bitcoin'e yönlendirildiğini gösteriyor; bu da varlıkları merkezi dondurma işlemlerinin erişemeyeceği bir yere taşıma yarışına işaret ediyor.
Araştırmacılar, fonların Lazarus Group'un TraderTraitor olarak bilinen alt grubuna ait cüzdanlara akışını yakından takip ediyor. Soygunun ölçeği ve sofistike aklama teknikleri, yasadışı fon akışları için kilit kanallar olan zincirler arası köprüler ve gizlilik mikserleri üzerindeki incelemeleri artırabilecek düzenleyicilerden güçlü bir tepki tetikleyebilir. Olay, hem kolluk kuvvetlerinin zincir üstü izleme yetenekleri hem de DeFi topluluğunun büyük ölçekli güvenlik ihlallerine müdahale etme ve bunları hafifletme kapasitesi için kritik bir test niteliği taşıyor.
Bu makale sadece bilgilendirme amaçlıdır ve yatırım tavsiyesi teşkil etmez.