Güney Koreli yetkililer, Kuzey Kore'nin Lazarus adlı hacker grubunun, ülkenin en büyük kripto para borsasında 36 milyon dolarlık bir ihlali organize edip etmediğini soruşturuyor; saldırı, aynı devlet destekli aktörlere atfedilen önceki büyük güvenlik olayının üzerinden tam altı yıl geçtikten sonra gerçekleşti.
Upbit, yaklaşık 44,5 milyar won (36 milyon dolar) değerinde Solana tabanlı varlıkların bir sıcak cüzdandan bilinmeyen harici adreslere izinsiz aktarımını tespit ettikten sonra perşembe günü yatırma ve çekme işlemlerini askıya aldı.
İhlal, 27 Kasım yerel saatle 04.42'de gerçekleşti ve derhal acil durum protokollerini ve platform genelinde tüm işlem hizmetlerinde bir dondurma başlatılmasını tetikledi.
Hükümet ve sektör kaynakları, Yonhap Haber Ajansı'na yaptıkları açıklamada, cüzdan hareketlerini ve sızma vektörlerini analiz eden soruşturmacıların artık saldırganların ya bir yönetici hesabını ele geçirdiğinden ya da dahili bir operatörü başarıyla taklit ettiğinden şüphelendiğini söyledi - bu taktikler, 342.000 ETH'nin (50 milyon dolar) çalındığı ve daha sonra Lazarus ile ilişkili Kuzey Koreli grup Andariele bağlanan 2019 olayıyla yakından benzerlik taşıyor.
Ne Oldu
İhlal, SOL, USDC, BONK, Jupiter, Raydium, Render, Orca ve Pyth Network dahil olmak üzere 20'den fazla Solana ekosistem tokenini etkiledi. Upbit'i işleten Dunamu, izinsiz çekimleri doğruladı ve borsanın operasyonel rezervlerini kullanarak müşterilere tam geri ödeme yapma sözü verdi. Şirket, Güney Kore'nin kripto kullanıcı koruma yasası kapsamında, Eylül itibarıyla siber saldırılar veya sistem arızaları için 67 milyar won tutarında rezerv tuttuğunu bildirdi.
Dunamu CEO'su Oh Kyung-seok yaptığı açıklamada, “Sızan dijital varlıkların tam miktarını tespit ettik ve müşterilerimizin hiçbir şekilde etkilenmemesi için kaybı tamamen Upbit'in kendi varlıklarıyla karşılayacağız” dedi. Borsa, adli ekipler inceleme yaparken kalan varlıkları ek çekimleri önlemek için soğuk depolamaya taşıdı.
Upbit, zincir üstü önlemlerle yaklaşık 2,3 milyar won (1,6 milyon dolar) değerinde Solayer tokenini dondurdu ve izlenebilir ek varlıkların dondurulması için token ihraççılarıyla koordinasyon sağlıyor. Blockchain adli bilişim firmaları, güvenlik yetkililerine göre, önceki Lazarus aklama modelleriyle uyumlu, çoklu cüzdanlar arasında hızlı transferler ve karıştırma faaliyetleri tespit etti.
Bir devlet yetkilisi Yonhap'a yaptığı açıklamada, “Sunucuyu doğrudan hedeflemek yerine, hackerların yönetici hesaplarını ele geçirmiş veya yönetici gibi davranarak transferi gerçekleştirmiş olmaları mümkün” dedi. Bu yaklaşım, Upbit'in altyapısına doğrudan bir saldırıdan ziyade hedefli hesap manipülasyonuna işaret ediyor ve önceki Lazarus operasyonlarıyla olan benzerlikleri güçlendiriyor.
Bilim ve ICT Bakanlığı, Finansal Hizmetler Komisyonu ve diğer denetleyici kurumlardan düzenleyiciler, Upbit'in sistemlerinde yerinde denetimler başlattı; odak noktası sıcak cüzdan anahtar yönetimi ve dahili ağ güvenliği. Borsa, dijital varlık yatırma ve çekme sisteminin tamamına yönelik kapsamlı bir inceleme yürüttüğünü ve güvenlik teyit edildikçe hizmetleri kademeli olarak yeniden başlatacağını açıkladı.
Blockchain güvenlik firması CertiK, çekimlerin hız ve ölçeğinin önceki Lazarus bağlantılı saldırılara benzediğini, ancak henüz kesin zincir üstü kanıtlara sahip olmadığını belirtti. Firma, Solana üzerinde 100'den fazla saldırgan adresinin fon hareketlerini izledi ve Lazarus bağlantılı aklama ağlarına uzanan bağlantıları takip etmek için hareketleri izlemeyi sürdürüyor.
Saldırının zamanlaması, hackerların motivasyonları hakkında spekülasyonları körükledi. İhlal, Koreli internet devi Naver'ın iştiraki Naver Financial'ın, Dunamu'nun tüm hissesini satın almak için 10,3 milyar dolarlık hisse takası anlaşmasını duyurduğu günle aynı gün gerçekleşti. Bu birleşme, Dunamu'yu tamamen sahip olunan bir iştirak haline getirecek ve Güney Kore kripto sektöründeki en önemli kurumsal dönüşümlerden birini temsil edecek.
Bir güvenlik uzmanı Yonhap'a, “Hackerların kendilerini gösterme isteği genellikle çok yüksektir” diyerek, saldırganların yüksek profilli birleşme duyurusu sırasında ilgiyi azamiye çıkarmak için bilerek 27 Kasım'ı seçmiş olabileceğini belirtti. Tarih aynı zamanda Upbit'in 2019'daki saldırısının altıncı yıldönümüne, gününe göre denk geliyordu.
Ayrıca bkz.: U.S. Senate Schedules Dec. 8 Session On Bill That Would Clarify Crypto Regulatory Authority
Neden Önemli
Upbit ihlali, kripto para güvenlik olayları açısından rekor kırılan bir yıla eklenen en son vaka konumunda. Şubat ayında gerçekleşen 1,5 milyar dolarlık dev Bybit borsa saldırısının toplamda baskın olduğu 2025 yılında, saldırı ve istismarlardan kaynaklanan kayıplar 2,4 milyar doları aştı. Kripto tarihinin en büyük saldırısı olan Bybit vakası da Kuzey Kore'nin Lazarus Grubu'na atfedilmişti.
Blockchain güvenlik firması CertiK'e göre, 2025'in ilk yarısında saldırılar, dolandırıcılıklar ve istismarlar nedeniyle 2,47 milyar dolar kayıp yaşandı; bu, 2024'te çalınan 2,4 milyar dolara kıyasla yaklaşık yüzde 3 artış anlamına geliyor. Cüzdan ele geçirme, 34 olayda 1,7 milyar dolardan fazla çalınan değerle en maliyetli saldırı vektörü olarak öne çıktı. Kimlik avı saldırıları ise 132 ihlal ve 410 milyon dolar kayıpla olay sayısı bakımından başı çekti.
Lazarus Grubu, borsa sızmalarından tedarik zinciri saldırılarına ve geliştirici ortamlarının ele geçirilmesine kadar çeşitli taktikleri defalarca kullandı. Grup, özel hazırlanmış kötü amaçlı yazılım kümeleri, sosyal mühendislik tuzakları ve zincirler arası karıştırıcılar ve köprüler üzerinden çalınan kripto parayı yönlendiren geniş bir aklama altyapısı konuşlandırdı. Güvenlik uzmanları, döviz kıtlığı yaşayan Kuzey Kore'nin rejim faaliyetlerini finanse etmek için çalınan kripto parayı kullandığını belirtiyor.
2019'daki Upbit saldırısında, soruşturmacılar çalınan ETH'nin yarısından fazlasının, Lazarus'un tipik yöntemleri olan cüzdan atlama ve karıştırma teknikleriyle, sahte kimliklerle açılan borsa hesapları üzerinden aklandığı sonucuna vardı. Grup, etki ve görünürlüğü en üst düzeye çıkarmak için daha önce de kripto platformlarını hedef almış, saldırıların kamu ilgisinin yüksek olduğu dönemlerde bilerek sahnelenmiş olabileceğini göstermişti.
Bir güvenlik yetkilisi, “Takip zincirini kırmak için tokenleri standart olarak birden fazla ağa dağıtıyorlar” dedi. Blockchain analiz sağlayıcısı Dethective, şüpheli hacker ile bağlantılı cüzdanların fonları taşımaya başladığını ve aklama sürecinin başladığını bildirdi.
Upbit'teki ihlal, operasyonel amaçlarla ağa bağlı kalmaya devam eden sıcak cüzdan altyapısındaki kalıcı zafiyetleri de gözler önüne seriyor. Borsa varlıklarının çoğunu tutan soğuk cüzdanlar güvende kalırken, aktif alım satım ve çekimleri yöneten sıcak cüzdanlar, sofistike saldırganlar için cazip hedefler olmaya devam ediyor. Çok sayıda güvenlik denetiminden geçen köklü platformlar bile muaf tutulmadı; Kasım ayındaki 128 milyon dolarlık Balancer protokol saldırısı, tehdit ortamının genişliğini gösteriyor.
Upbit'in operasyonel rezervlerinden müşterilere tam geri ödeme yapabilmesi belli bir güvence sağlasa da, olay, Naver Financial ile entegrasyon sürecindeki borsa ve Dunamu için doğrudan önemli bir mali darbe anlamına geliyor. Birleşme, Güney Kore'de yapay zeka ve Web3 teknoloji altyapısını geliştirmek üzere beş yılda 10 trilyon won yatırım yapılması için stratejik bir hamle olarak konumlandırılmıştı. Satın alma duyurusundan saatler sonra gelen saldırı, yeni birleşen yapı için rahatsız edici bir arka plan oluşturuyor.
Yetkililer, Upbit'in güvenlik altyapısına yönelik adli incelemeler yürütürken, çalınan varlıkları blockchain analiziyle takip etmeye devam ediyor. Borsa, yatırma ve çekme hizmetlerini yeniden başlatmak için bir zaman çizelgesi sunmadı; ancak bu büyüklükteki olayların ardından yapılan güvenlik denetimleri, bulgulara bağlı olarak genellikle birkaç gün veya daha uzun sürebiliyor.
Sıradaki haber: BAT Leads Social Tokens Rally With 100% Surge After Brave Browser Reached 101 Million Users