Drift Protocol (DRIFT), 5 Nisan’da yayımladığı detaylı bir olay raporunda, 1 Nisan’daki 285 milyon dolarlık saldırının Kuzey Kore destekli aktörlere ait altı aylık bir istihbarat operasyonunun ürünü olduğunu açıkladı.
Açıklama, klasik oltalama ya da sahte iş teklifi dolandırıcılıklarının çok ötesine geçen, yüzyüze buluşmalar, gerçek sermaye kullanımı ve aylarca süren güven oluşturma gibi sofistike sosyal mühendislik adımlarını gözler önüne seriyor.
Uzun Vadede Oynayan Sahte Trading Şirketi
Drift’e göre, kendisini nicel trading firması olarak tanıtan bir grup, ilk olarak 2025 sonbaharında büyük bir kripto para konferansında katkı sağlayanlarla temasa geçti.
Ardından geçen aylarda, bu kişiler birçok ülkede düzenlenen etkinliklerde bir araya geldi, çalışma oturumları düzenledi ve vault entegrasyonlarıyla ilgili Telegram sohbetlerini sürdürdü.
Bizi X’te takip edin gelişmeleri anında öğrenin
2025 Aralık ile 2026 Ocak arasında grup, Drift üzerinde bir Ecosystem Vault açtı, bir milyon doların üzerinde sermaye yatırdı ve detaylı ürün tartışmalarına katıldı.
Mart ayına gelindiğinde, Drift ekibi bu kişilerle birçok kez yüzyüze görüştü.
‘…en tehlikeli hacker’lar, tam olarak bir hacker gibi görünmez’ dedi kripto geliştiricisi Gautham.
Web güvenlik uzmanları dahi bu durumu endişeyle karşılıyor. Araştırmacı Tay, başta sıradan bir iş teklifi dolandırıcılığı sandığını ancak operasyonun derinliğini gördükçe çok daha tedirgin edici bulduğunu paylaştı.
Cihazlar Nasıl Ele Geçirildi?
Drift, üç olası saldırı vektörü tespit etti:
- Katkı sağlayanlardan biri, grup tarafından paylaşılan bir vault arayüzü için olan kod deposunu bilgisayarına klonladı.
- Bir diğeri ise cüzdan ürünü olarak sunulan bir TestFlight uygulamasını indirdi.
- Kod deposu vektöründe ise Drift, güvenlik araştırmacılarının 2025 sonundan bu yana işaret ettiği bilinen bir VSCode ve Cursor açığına vurgu yaptı.
Bu açık sayesinde, editörde bir dosya ya da klasör açılır açılmaz, hiçbir kullanıcı etkileşimi olmadan rastgele kod çalıştırılabiliyordu.
1 Nisan’daki sızıntı sonrası saldırganlar, tüm Telegram konuşmalarını ve zararlı yazılımları temizledi. Drift protokolde kalan fonksiyonları dondurdu ve tehlikeye atılan cüzdan’ları multisig’den çıkardı.
SEALS 911 ekibi, aynı tehdit aktörlerinin ekim 2024’teki Radiant Capital saldırısını da gerçekleştirdiğini, Mandiant’ın UNC4736’ya atfettiğini, orta-yüksek güvenle belirtiyor.
Zincir üstü fon hareketleri ile operasyonel benzerlikler, iki saldırı serisi arasındaki bağlantıya işaret ediyor.
Sektör Güvenlikte Yeni Bir Başlangıç Çağrısı Yapıyor
Solana’nın önde gelen geliştiricilerinden Armani Ferrante, tüm kripto takımlarına büyüme adımlarını durdurup, güvenlik sistemlerini baştan sona denetleme çağrısında bulundu.
‘Kriptoda her takım bu olayı bir fırsat görüp yavaşlamalı ve güvenliğe odaklanmalı. Mümkünse, tüm takımı buna ayırın… hack’lenirseniz zaten büyüyemezsiniz’ dedi Ferrante.
Drift, yüzyüze iletişime geçen kişilerin Kuzey Kore vatandaşı olmadığını vurguladı. Bu seviyede çalışan DPRK (Kuzey Kore) tehdit aktörlerinin yüz yüze görüşmeler için aracı üçüncü tarafları kullandığı biliniyor.
Drift’in cihaz incelemesi için birlikte çalıştığı Mandiant henüz saldırıyı resmen bir tarafa atfetmiş değil.
Bu ifşa, daha geniş ekosisteme de önemli bir uyarı niteliğinde. Drift, tüm takımlara erişim kontrollerini denetleme, multisig’e dokunan her cihazı potansiyel hedef olarak görme ve benzer bir durumdan şüphelenirlerse SEALS 911 ile iletişime geçme çağrısında bulundu.
