Drift'in 285 Milyon Dolarlık İstismarının Arkasındaki Altı Aylık DPRK Planı Kripto Topluluğunu Şok Etti

Drift Protocol, 285 milyon dolardan fazla zarara yol açan 1 Nisan saldırısının ardından, saldırının nasıl düzenlendiğine ve etkisinin neden tek bir protokolün çok ötesine geçtiğine dair yeni bilgiler sunan ayrıntılı bir arka plan güncellemesi yayınladı.

"Orta-yüksek güvenle" Kuzey Kore devletine bağlı bir tehdit grubuyla ilişkilendirilen olay, DeFi'deki operasyonel güvenlik uygulamaları hakkında ciddi sorular ortaya çıkarmakla kalmadı, aynı zamanda Solana'nın kilitlenen toplam değerinde keskin bir düşüşle aynı zamana denk geldi. Patlamayı takip eden günlerde Solana TVL 6,34 milyar dolardan 5,55 milyar dolara düşerek yaklaşık %12,5'lik bir gerileme göstermiştir.

Çalınan fonlar hariç tutulduğunda, yaklaşık %8'lik net düşüş, kullanıcı güveninde anlamlı bir değişimi yansıtmakla birlikte, büyük açıklardan sonra görülen tarihsel ortalamaların altında kalmaktadır.

Altı Aylık Sızma Kampanyası

Drift'in 5 Nisan tarihli güncellemesine göre, istismar tek bir güvenlik açığının sonucu değil, birkaç ay içinde ortaya çıkan yapılandırılmış bir operasyondu.

Saldırı 2025 sonbaharında, niceliksel bir ticaret firması gibi davranan kişilerin bir kripto konferansında Drift katılımcılarına yaklaşmasıyla başladı. Takip eden altı ay boyunca bu kişiler sürekli temas halinde olmuş ve birçok küresel sektör etkinliğinde katılımcılarla yüz yüze görüşmüşlerdir.

Güçlü teknik bilgiler sergilediler, güvenilir profesyonel geçmişler sundular ve alım satım stratejileri ve kasa entegrasyonları hakkında ayrıntılı tartışmalara girdiler. Bu etkileşimler, ticaret firmaları için tipik işe alım davranışını yansıtmakta ve ilişkinin hemen şüphe uyandırmadan gelişmesine olanak tanımaktadır.

Aralık 2025 ve Ocak 2026 arasında grup, Drift'te bir Ekosistem Kasası açarak, çalışma oturumlarına katılarak ve protokole 1 milyon doların üzerinde sermaye yatırarak katılımını derinleştirdi. Bu faaliyet operasyonel meşruiyet sağlamış ve güveni daha da pekiştirmiştir.

İlişki boyunca grup, standart entegrasyon iş akışlarının bir parçası olarak araçlara, uygulamalara ve depolara bağlantılar paylaştı. Bu etkileşimler daha sonra soruşturmanın merkezi haline gelmiştir.

Muhtemel Saldırı Vektörleri

Drift'in ilk bulguları iki ana saldırı yoluna işaret ediyor.

Bir katılımcı, saldırganların paylaştığı bir kasa ön ucuna bağlı bir kod deposunu klonladıktan sonra ele geçirilmiş olabilir. Diğer bir katılımcının ise grubun cüzdan ürünü olarak sunulan bir TestFlight uygulamasını indirdiği bildirildi.

Güvenlik araştırmacıları ayrıca 2025'in sonları ve 2026'nın başlarında VSCode ve Cursor gibi geliştirme ortamlarını etkileyen bilinen bir güvenlik açığı ile potansiyel bir bağlantı olduğunu belirtmişlerdir. Bu güvenlik açığı, kullanıcı etkileşimi gerektirmeden yalnızca kötü amaçlı bir deponun açılmasıyla keyfi kod yürütülmesine izin veriyordu.

İstismarın ardından yapılan adli analizler, saldırganların iletişim kanallarının ve kötü amaçlı yazılımlarının hızla silindiğini ortaya koyarak izleri ortadan kaldırmak için koordineli bir çaba gösterildiğini gösterdi.

Tehdit Değerlendirmesi ve Müdahale

SEAL 911 ekibi de dahil olmak üzere müfettişler, operasyonun Ekim 2024 Radiant Capital saldırısıyla hem zincir üzerinde hem de operasyonel benzerlikler taşıdığını orta-yüksek güvenle değerlendirdi. Bu olay daha önce AppleJeus veya Citrine Sleet olarak da bilinen Kuzey Kore devletine bağlı bir grup olan UNC4736'ya atfedilmişti.

Drift, Drift katılımcılarıyla şahsen tanışan kişilerin muhtemelen tehdit grubunun doğrudan üyeleri değil aracıları olduğunu açıkladı. Bu durum, devlet bağlantılı aktörlerin ilişki kurmak ve sosyal mühendislik kampanyaları yürütmek için üçüncü tarafları kullandıkları bilinen taktiklerle uyumludur.

Mandiant tam bir adli soruşturma yürütmek üzere görevlendirilmiştir, ancak resmi ilişkilendirme halen beklemededir.

İstismarın ardından Drift, kalan tüm protokol işlevlerini dondurdu ve güvenliği ihlal edilmiş cüzdanları multisig'inden kaldırdı. Ekip ayrıca fon akışını sınırlandırmak için borsalar ve köprü operatörleri genelinde saldırgan adreslerini işaretledi.

Protokol şu anda soruşturmayı sürdürmek ve kurtarma seçeneklerini değerlendirmek için kolluk kuvvetleri ve güvenlik ortaklarıyla birlikte çalışıyor.

Sektörden Gelen Tepkiler Güvenlik Endişelerini Vurguluyor

Olay, birçoğu daha güçlü operasyonel güvenlik standartlarına duyulan ihtiyacı vurgulayan sektör liderlerinin yaygın yorumlarına yol açtı.

Jito Labs'ın kurucu ortağı ve CEO'suLucas Bruder, olayın sektörün davranışını değiştireceğini belirterek, sektör katılımcılarının "yeterince paranoyak" olmadıklarını sözlerine ekledi.

Solana Vakfı Teknoloji Başkan YardımcısıJacob Creech, sıkı güvenlik uygulamalarını vurgulayarak ekiplere bilinmeyen uygulamaları yüklemekten kaçınmalarını, özel imzalama cihazları kullanmalarını ve mevcut kurulumlarını yeniden değerlendirmelerini tavsiye etti.

Solana kurucu ortağı Anatoly Yakovenko da bu düşünceyi yineleyerek saldırıyı "dehşet verici" olarak nitelendirdi ve her bir işlev için özel donanım da dahil olmak üzere geliştirme ve imzalama ortamları arasında fiziksel ayrım yapılmasını önerdi.

Tay olarak bilinen bir onchain araştırmacısı, Kuzey Koreli BT çalışanlarının SushiSwap, THORChain, Harmony, Ankr, Shib ve Yearn'a atıfta bulunarak DeFi yazına kadar uzanan kripto protokollerinin oluşturulmasına katkıda bulunduğunu belirtti.

Bu tür aktörlerin özgeçmişlerinde yer alan "7 yıllık blockchain geliştirme deneyimi" iddialarının yanlış olduğunun göz ardı edilmemesi gerektiğini de sözlerine eklediler.

Squads Protocol CEO'suStepan Simkin, protokol yönetimi için kod denetimlerine veya SOC2 sertifikalarına benzer çerçeveler önererek resmi operasyonel güvenlik standartlarına duyulan ihtiyaca işaret etti.

Sorumluluk ve İhmal Tartışması

Tüm tepkiler sempatik değildi. Bir hukuk uzmanı olan Ariel Givner, olayın sivil ihmal teşkil edebileceğini savundu. Geliştirme faaliyetlerinin kritik sistemlere erişimle harmanlanmasını ve hava boşluklu imza ortamları gibi temel güvenlik önlemlerinin eksikliğini eleştirdi.

Givner'in yorumları, hesap verebilirlik ve önlenebilir operasyonel başarısızlıklardan protokollerin sorumlu tutulup tutulmayacağı konusunda daha geniş bir topluluk tartışmasını yansıtıyor.

Buna karşılık Moonrock Capital'in Kurucusu ve Yönetici Ortağı Simon Dedic, Drift bir hedef haline geldiğinde saldırganların karmaşıklığının önlem almayı son derece zorlaştırdığını öne sürdü.

Güvenlik Düşüncesinde Daha Geniş Bir Değişim

Diğer sesler ise olayı daha geniş bir endüstri bağlamına yerleştirdi.

Solana Vakfı BaşkanıLily Liu, akıllı sözleşmelerin beklendiği gibi performans göstermesine rağmen, saldırganların giderek kod yerine insan açıklarını hedef aldığını belirtti.

Enterprise Ethereum Alliance İcra DirektörüRedwan Meslem, sıkı erişim kontrolleri ve güvenlik protokollerinin standart olduğu havacılık ve bankacılık gibi geleneksel sektörlerle karşılaştırmalar yaptı. Meslem, kriptonun önemli finansal riskleri yönetmesine rağmen hala başlangıç düzeyinde bir güvenlik kültürüyle çalıştığını savundu.

Soruşturmalar devam ederken, daha geniş kapsamlı ders de netliğini koruyor. DeFi'de güvenlik, kodun ötesine geçerek titiz operasyonel standartları, kontrollü ortamları ve giderek daha düşmanca bir ortamda güvenin nasıl tesis edildiğinin yeniden değerlendirilmesini içermelidir.

SolanaFloor hakkında daha fazla bilgi edinin

Titan Exchange Yeni DART Router ile 4 Kat Binance Üstünlüğü Vaat Ediyor
ABD-İran Ateşkes GörüşmeleriSonuçsuz Kalırken BTC 69Bin Dolarda Tutundu

Drift Protokolü 285 Milyon Dolar Karşılığında Hacklendi