Kuzey Koreli Hackerlar 40'tan Fazla DeFi Protokolüne Sızdı, 7 Milyar Dolar Çaldı

Bir siber güvenlik analisti, Kuzey Koreli BT çalışanlarının son yedi yıl içinde 40'tan fazla merkeziyetsiz finans (DeFi) protokolüne başarıyla sızdığını ve 2020'deki "DeFi yazına" kadar uzanan projelere yerleştiğini ortaya çıkardı. Operasyonların, 2017'den bu yana 7 milyar dolar çaldığı tahmin edilen Lazarus Group gibi devlet destekli bilgisayar korsanlığı kolektifleriyle bağlantılı olduğu düşünülüyor.

MetaMask geliştiricisi ve güvenlik araştırmacısı Taylor Monahan, Pazar günü bir sosyal medya gönderisinde, "Pek çok KHCBT BT çalışanı, DeFi yazına kadar uzanan ve bildiğiniz, sevdiğiniz protokolleri inşa etti" dedi. Monahan, bazı özgeçmişlerde listelenen "yedi yıllık blok zinciri geliştirme deneyiminin" bir "yalan olmadığını" da sözlerine ekledi.

Ortaya çıkan gerçekler, uzun vadeli sızma stratejilerini kripto endüstrisindeki en büyük hırsızlıklardan bazılarına bağlıyor. R3ACH Network analistlerine göre Lazarus Group, 2022'deki 625 milyon dolarlık Ronin Bridge saldırısı ve Solana tabanlı Drift Protocol'ün yakın zamandaki 280 milyon dolarlık saldırısı dahil olmak üzere büyük istismarlarla ilişkilendiriliyor. Sürdürülen kampanya, tüm DeFi ekosistemi için kalıcı ve gelişen bir tehdit vektörünü vurguluyor.

Bu uzun vadeli sızma, kripto endüstrisi için önemli bir operasyonel güvenlik riski oluşturuyor ve protokolleri işe alım ve karşı taraf doğrulama süreçlerini yeniden değerlendirmeye zorluyor. Gelişmiş, ulusal olmayan aracıların kullanılması, aylarca hatta yıllarca planlanmış olabilecek saldırıları engellemek için basit özgeçmiş kontrollerinin artık yeterli olmadığını gösteriyor.

Sızma Taktikleri Gelişiyor

Drift Protocol'e yönelik son 280 milyon dolarlık saldırı, bu devlet bağlantılı gruplar tarafından kullanılan gelişen yöntemlere ışık tuttu. Bir analizde Drift ekibi, saldırının bir Kuzey Koreli grup tarafından gerçekleştirildiğine dair "orta-yüksek güvene" sahip olduklarını söyledi. Ancak protokolün geliştiricileri, bizzat görüştükleri kişilerin Kuzey Kore vatandaşı olmadığını belirtti.

Bunun yerine saldırganlar, "iş geçmişleri, halka açık kimlik bilgileri ve profesyonel ağlar dahil olmak üzere tam olarak oluşturulmuş kimliklere" sahip "üçüncü taraf aracılar" kullandılar.

Bu taktik, daha sonra Lazarus ajanı olduğu belirlenen bir adayla mülakat yapma deneyimini anlatan Titan Exchange kurucusu Tim Ahhl tarafından da doğrulandı. Ahhl, adayın "görüntülü aramalar yaptığını ve son derece nitelikli olduğunu" ancak yüz yüze görüşmeyi reddettiğini belirterek, "Lazarus ajanı olduğu ortaya çıkan biriyle mülakat yaptık" dedi. ABD Yabancı Varlıklar Kontrol Ofisi (OFAC), kripto işletmelerinin tarama için kullanabileceği bir yaptırım listesi tutuyor, ancak bu gelişen sosyal mühendislik taktikleri uyumu karmaşıklaştırıyor.

Tehdidi Değerlendirme

Blok zinciri analisti ZachXBT, tüm Kuzey Kore bağlantılı siber tehditlerin aynı grupta toplanmaması gerektiği konusunda uyardı. Lazarus Group'un "tüm KHCBT devlet destekli siber aktörler" için toplu bir terim olduğunu, ancak saldırılarının karmaşıklığının değiştiğini açıkladı.

ZachXBT, iş ilanları, LinkedIn veya e-posta yoluyla gelen tehditlerin "temel ve hiçbir şekilde gelişmiş olmadığını" belirterek, birincil avantajlarının "amansız" olmaları olduğunu ekledi. 2026 yılında bu tür oyunlara gelmenin bir dereceye kadar ihmalkarlık olduğunu savundu. Drift Protocol'deki saldırı gibi daha gelişmiş saldırılar, aylar süren kasıtlı hazırlık ve sosyal mühendislik gerektiriyor ve çok daha tehlikeli bir tehdidi temsil ediyor.

Bu grupların devam eden başarısı, anonimlik ethosunun istismar edilebildiği DeFi alanındaki kritik bir savunmasızlığın altını çiziyor. Projeler, özellikle de takma adlı ekiplere sahip olanlar için rapor, güçlü operasyonel güvenlik, katkıda bulunanların kapsamlı bir şekilde incelenmesi ve geliştirme ile protokol yönetimine sıfır güven yaklaşımı ihtiyacının sert bir hatırlatıcısıdır.

Bu makale sadece bilgilendirme amaçlıdır ve yatırım tavsiyesi teşkil etmez.