Yılın en büyük DeFi saldırısı, ikram içeceklerin sunulduğu bir networking etkinliğinde başladı — Drift Protocol, 5 Nisan’da, Apr. 1 hack saldırısının, artık orta-yüksek güven seviyesiyle Kuzey Kore devletiyle bağlantılı aktörlere bağlanan altı aylık bir istihbarat operasyonunun sonucu olduğunu açıkladı.
Drift Protocol Saldırı Ayrıntıları
Sızma, 2025 sonbaharında, nicel bir alım satım şirketi gibi davranan bir grubun büyük bir kripto konferansında Drift katkıda bulunanlarına yaklaşmasıyla began. Sonraki aylarda, ekip üyeleriyle birden fazla ülkedeki çeşitli sektörel etkinliklerde yüz yüze görüştüler.
Ekosistem Kasası’na 1 milyon doların üzerinde kendi sermayelerini yatırdılar.
Birden fazla çalışma oturumunda ayrıntılı ürün soruları sordular ve Drift’in altyapısı içinde meşru görünen bir alım satım operasyonu inşa ettiler.
Aralık 2025 ile Mart 2026 arasında, grup kasa entegrasyonları aracılığıyla bağlarını güçlendirdi ve konferanslarda yüz yüze görüşmelere devam etti. Katkıda bulunanların şüphelenmek için bir nedeni yoktu — saldırı gerçekleştiğinde ilişki neredeyse altı aylıktı ve doğrulanmış profesyonel geçmişleri, içerikli teknik görüşmeler ve çalışan bir zincir üstü varlık içeriyordu.
1 Nisan’daki saldırı vurduğunda, grubun Telegram sohbetleri ve kötü amaçlı yazılımları tamamen silinmişti. Adli inceleme, iki olası sızma vektörü tespit etti: bir kasa arayüzü dağıtma bahanesiyle paylaşılan kötü amaçlı bir kod deposu ve grubun cüzdan ürünü olarak sunulan bir TestFlight uygulaması.
Aralık 2025’ten Şubat 2026’ya kadar güvenlik topluluğu tarafından aktif biçimde işaretlenen, VSCode ve Cursor editörlerindeki bilinen bir güvenlik açığı, yalnızca bir dosyayı açarak sessiz kod çalıştırmaya imkân vermiş olabilir.
Kalan tüm protokol fonksiyonları donduruldu ve ele geçirilmiş cüzdanlar çoklu imzadan çıkarıldı. Soruşturma için Mandiant devreye alındı ve saldırgan cüzdanları borsalar ve köprü operatörleri genelinde işaretlendi.
Also Read: Bitcoin Decentralization Faces A Problem: Mining Power Tied To Just Three Nations
Kuzey Koreli Tehdit Aktörlerinden Şüpheleniliyor
SEALS 911 ekibinin yürüttüğü soruşturmalar, operasyonun Ekim 2024’teki Radiant Capital saldırısının arkasındaki aynı tehdit aktörleri tarafından gerçekleştirildiğini orta-yüksek güven seviyesiyle değerlendirdi.
Mandiant, o saldırıyı daha önce UNC4736’ya, yani AppleJeus veya Citrine Sleet olarak da takip edilen, Kuzey Kore devletiyle bağlantılı bir gruba atfetmişti.
Bağlantı, hem zincir üstü kanıtlara hem de operasyonel kalıplara dayanıyor.
Drift operasyonunu hazırlamak ve test etmek için kullanılan fon akışları Radiant saldırganlarına kadar takip ediliyor ve kampanya boyunca kullanılan kimlikler, bilinen DPRK bağlantılı faaliyetlerle örtüşüyor. Dikkate değer biçimde, yüz yüze ortaya çıkan kişiler Kuzey Kore vatandaşı değildi — bu seviyedeki DPRK tehdit aktörlerinin, yüz yüze temaslar için üçüncü taraf aracıları kullanabildiği biliniyor.
Read Next: XRP Ledger Hits Record 4.49M Transactions Amid Price Decline