Yılın en büyük DeFi saldırısı, ücretsiz içeceklerin sunulduğu bir networking etkinliğinde başladı — Drift Protocol, 5 Nisan’da yaptığı açıklamada 1 Nisan saldırısının altı aylık bir istihbarat operasyonunun sonucu olduğunu ve bu operasyonun orta-yüksek düzeyde güvenle Kuzey Kore devletiyle bağlantılı aktörlere bağlandığını duyurdu.
Drift Protocol Saldırısının Ayrıntıları
Sızma, 2025 sonbaharında, nicel bir ticaret şirketi gibi davranan bir grubun büyük bir kripto konferansında Drift katkıcılarına yaklaşmasıyla başladı. Sonraki aylarda, ekip üyeleriyle birden fazla ülkedeki çeşitli sektör etkinliklerinde yüz yüze buluştular.
Kendi sermayelerinden 1 milyon dolardan fazlasını bir Ekosistem Kasası’na yatırdılar.
Birden fazla çalışma oturumu boyunca ayrıntılı ürün soruları sordular ve Drift’in altyapısının içinde, meşru bir ticaret operasyonu gibi görünen bir yapı oluşturdular.
Aralık 2025 ile Mart 2026 arasında grup, kasa entegrasyonları yoluyla bağlarını derinleştirdi ve konferanslarda yüz yüze görüşmeleri sürdürdü. Katkıcıların şüphelenmesini gerektirecek bir durum yoktu — saldırı gerçekleştiğinde ilişki neredeyse yarım yıllıktı; doğrulanmış profesyonel geçmişler, kapsamlı teknik sohbetler ve işleyen bir zincir üstü varlık içeriyordu.
1 Nisan’daki saldırı vurduğunda, grubun Telegram yazışmaları ve kötü amaçlı yazılımları tamamen silinmişti. Adli inceleme, iki olası sızma vektörü tespit etti: bir kasa arayüzü dağıtma bahanesiyle paylaşılan kötü amaçlı bir kod deposu ve grubun cüzdan ürünü olarak sunulan bir TestFlight uygulaması.
Güvenlik topluluğunun Aralık 2025 ile Şubat 2026 arasında aktif olarak işaret ettiği, VSCode ve Cursor editörlerindeki bilinen bir güvenlik açığı, yalnızca bir dosyanın açılmasıyla sessiz kod yürütmesini mümkün kılmış olabilir.
Kalan tüm protokol fonksiyonları donduruldu ve ele geçirilen cüzdanlar multisig yapısından çıkarıldı. Soruşturma için Mandiant görevlendirildi ve saldırgan cüzdanlar borsalar ve köprü operatörleri genelinde işaretlendi.
Ayrıca Oku: Bitcoin Decentralization Faces A Problem: Mining Power Tied To Just Three Nations
Kuzey Koreli Tehdit Aktörlerinden Şüpheleniliyor
SEALS 911 ekibi tarafından yürütülen soruşturmalar, operasyonun Ekim 2024’teki Radiant Capital saldırısının arkasındaki aynı tehdit aktörleri tarafından orta-yüksek düzeyde güvenle gerçekleştirildiğini değerlendirdi.
Mandiant, o saldırıyı daha önce, AppleJeus veya Citrine Sleet olarak da takip edilen, Kuzey Kore devletiyle bağlantılı UNC4736 grubuna atfetmişti.
Bağlantı hem zincir üstü kanıtlara hem de operasyonel kalıplara dayanıyor.
Drift operasyonunu hazırlamak ve test etmek için kullanılan fon akışları Radiant saldırganlarına kadar uzanıyor ve kampanya boyunca kullanılan kimlikler, bilinen DPRK bağlantılı faaliyetlerle örtüşüyor. Özellikle, yüz yüze görünen kişilerin Kuzey Kore vatandaşı olmaması dikkat çekici — bu seviyedeki DPRK tehdit aktörlerinin, yüz yüze temas için üçüncü taraf aracıları kullanabildiği biliniyor.
Sonraki Haber: XRP Ledger Hits Record 4.49M Transactions Amid Price Decline