Drift Protocol'ün 285 milyon dolarlık hack saldırısının altı aylık bir hazırlık sürecinin sonucu olduğu, Kuzey Koreli bir grubun suçlandığı bildirildi.

1 Nisan 2026 sömürmek of SolanaPlatformdan yaklaşık 285 milyon doları çalan Drift Protocol adlı internet tabanlı saldırı, kendiliğinden gelişen bir saldırı değildi. Drift'in ön bilgilerine göre soruşturmaBu, en az altı ay öncesinden başlayan ve orta-yüksek güvenilirlikle UNC4736'ya (AppleJeus veya Citrine Sleet olarak da bilinen, Kuzey Kore devletine bağlı bir tehdit grubu) atfedilen yapılandırılmış bir istihbarat operasyonunun sonucuydu.

Drift Protokolü Saldırısı Nasıl Başladı?

Drift Protocol ekibine göre, operasyon 2025 Sonbaharında büyük bir kripto para konferansında başladı; burada kendilerini nicel işlem firması olarak tanıtan kişiler Drift geliştiricilerine yaklaştı. Ardından gelen şey hızlı bir kimlik avı girişimi değildi. Aylarca süren, çok sayıda yüz yüze görüşme, çok sayıda sektör konferansı ve çok sayıda ülkede gerçekleştirilen kasıtlı bir ilişki kurma kampanyasıydı.

Grup teknik olarak yetkin, doğrulanabilir profesyonel geçmişe sahip ve Drift'in nasıl çalıştığı konusunda ayrıntılı bilgiye sahip kişilerden oluşuyordu. İlk toplantıdan sonra bir Telegram grubu kuruldu ve aylarca alım satım stratejileri ve kasa entegrasyonları hakkında kapsamlı tartışmalar devam etti. Drift ekibi, bu etkileşimlerin meşru alım satım firmalarının protokolle tipik olarak nasıl etkileşim kurduğuyla tamamen tutarlı olduğunu belirtti.

Aralık 2025 ile Ocak 2026 arasında grup, Drift üzerinde bir Ekosistem Kasası oluşturdu. Bu süreç, resmi bir başvuru formu aracılığıyla strateji ayrıntılarının sunulmasını, Drift katılımcılarıyla birden fazla çalışma oturumuna katılmayı ve kendi sermayelerinden 1 milyon dolardan fazla para yatırmayı içeriyordu. Protokol içinde işlevsel bir operasyonel varlık oluşturmayı, bilinçli ve sabırlı bir şekilde gerçekleştirdiler.

Saldırıdan Önceki Son Aylar

Entegrasyon görüşmeleri Şubat ve Mart 2026 boyunca devam etti. Drift çalışanları, büyük sektör etkinliklerinde gruptaki kişilerle tekrar yüz yüze görüştüler. Nisan ayına gelindiğinde, ilişki neredeyse altı aylık olmuştu. Bunlar yabancı kişiler değildi. Drift ekibinin birlikte çalıştığı ve birçok kez yüz yüze görüştüğü kişilerdi.

Bu süre boyunca grup, geliştirmekte olduklarını iddia ettikleri projelere, araçlara ve uygulamalara ait bağlantıları paylaştı. Bu tür kaynakların paylaşımı, ticaret firmaları arasındaki ilişkilerde standart bir uygulamadır ve bu da onu etkili bir dağıtım mekanizması haline getirmiştir.

Teknik Saldırı Yöntemleri Nelerdi?

1 Nisan'daki saldırının ardından Drift, etkilenen cihazlar, hesaplar ve iletişim geçmişleri üzerinde adli bir inceleme gerçekleştirdi. Grubun kullandığı Telegram sohbetleri ve kötü amaçlı yazılımlar, saldırı gerçekleştiği anda tamamen silinmişti. Drift'in soruşturması üç olası sızma yöntemi belirledi:

• Grup tarafından paylaşılan ve kendi güvenlik duvarları için ön uç dağıtım aracı olarak sunulan bir kod deposunu kopyaladıktan sonra bir katılımcının güvenliğinin tehlikeye girmiş olabileceği düşünülüyor.
• İkinci bir katılımcı, grubun cüzdan ürünü olarak tanımladığı bir TestFlight uygulamasını indirmeye ikna edildi. TestFlight, Apple'ın iOS uygulamalarının beta sürümlerini halka açık olarak yayınlanmadan önce dağıtmak için kullandığı platformdur.
• Depo tabanlı saldırı yöntemi için muhtemel mekanizma, güvenlik araştırmacılarının Aralık 2025 ile Şubat 2026 arasında aktif olarak işaretlediği VSCode ve Cursor kod editörlerindeki bilinen bir güvenlik açığıydı. Etkilenen editörde bir dosya, klasör veya depo açmak, kullanıcıya herhangi bir uyarı, izin iletişim kutusu veya görünür bir gösterge olmaksızın rastgele kod çalıştırmak için yeterliydi.

Yayınlandığı sırada, etkilenen donanımların tam adli analizi henüz devam ediyordu.

Saldırı Ne Kadar Hızlı Gerçekleşti?

Kurulum altı ay sürmüş olabilir, ancak uygulama hızlıydı. Protokolün yönetim kontrolü ele geçirildikten sonra, gerçek kullanıcı fonları 12 dakikadan kısa sürede boşaltıldı. Drift'in kilitli toplam değeri (TVL) yaklaşık 550 milyon dolardan bir saatten kısa sürede 300 milyon doların altına düştü. Olay sırasında DRIFT token'ı %40'tan fazla değer kaybetti. Güvenlik firması PeckShield, toplam kaybın 285 milyon doları aştığını ve bunun o zamanki protokolün TVL'sinin %50'sinden fazlasını temsil ettiğini doğruladı.

Drift'in ekibi, yaşanan kaos sırasında X platformunda durumun gerçek olduğunu açıklayan bir paylaşım yaparak şunları yazdı: "Bu bir 1 Nisan şakası değil. Bir sonraki duyuruya kadar dikkatli olun." Soruşturma başlatılırken tüm para yatırma ve çekme işlemleri askıya alındı.

Umut Vaat Eden Projeleri Keşfedin...

Umut Vadeden Projeler...

(İlan)

Makale devam ediyor...

285 Milyon Dolar Nereye Gitti?

Saldırgan, saldırıdan sonra fon izini gizlemek için hızla harekete geçti. Çalınan varlıklar USDC ve SOL'e dönüştürüldü, ardından Circle'ın Çapraz Zincir Transfer Protokolü (CCTP) kullanılarak Solana'dan Ethereum'a aktarıldı. CCTP, USDC'nin farklı blok zincirleri arasında sarmalama olmadan hareket etmesini sağlayan Circle'ın yerel köprüleme altyapısıdır. Ethereum'da fonlar ETH'ye dönüştürüldü. Zincir içi izleme, saldırganın nihayetinde yaklaşık 273 milyon dolar değerinde 129,066 ETH biriktirdiğini doğruladı.

Saldırgan ayrıca SOL'ü hem HyperLiquid hem de Binance'e yatırarak, izleme çalışmalarını zorlaştırmak amacıyla faaliyetlerini birden fazla platforma yaydı.

Circle yeterince hızlı yanıt verdi mi?

On-chain araştırmacısı ZachXBT, güvenlik açığından sonra Circle'ı kamuoyu önünde eleştirerek, çalınan büyük miktarda USDC'nin ABD iş saatlerinde Solana'dan Ethereum'a dondurulmadan aktarıldığını belirtti. ZachXBT, bunu Circle'ın yakın zamanda ABD'de görülen gizli bir hukuk davasında 16 farklı şirketin cüzdanını dondurma kararıyla karşılaştırdı ve Circle'ın müdahale etmek için hem teknik yeteneğe hem de açık bir emsal karara sahip olduğunu ancak zararı sınırlamak için yeterince hızlı hareket edemediğini savundu.

Saldırının Arkasında Kim Var?

Drift'in soruşturması, SEALS 911 ekibi tarafından yürütülen araştırmalarla desteklenerek ve orta-yüksek bir güvenle, operasyonu Ekim 2024'teki Radiant Capital saldırısından sorumlu aynı tehdit aktörlerine atfediyor. Bu saldırı, Mandiant tarafından resmen Kuzey Kore devletine bağlı bir grup olan UNC4736'ya atfedilmişti.

Bu bağlantının temeli hem zincir üzerinde hem de operasyonel düzeydedir. Drift operasyonunu sahnelemek ve test etmek için kullanılan fon akışları, Radiant saldırganlarıyla bağlantılı cüzdanlara kadar izlenebilir. Ek olarak, Drift kampanyası boyunca kullanılan kimlikler, bilinen Kuzey Kore bağlantılı faaliyet kalıplarıyla tanımlanabilir örtüşmelere sahiptir.

Drift'in ekibinden önemli bir açıklama: Konferanslara bizzat katılan kişiler Kuzey Kore vatandaşı değildi. Bu operasyon seviyesinde, Kuzey Kore bağlantılı tehdit unsurlarının, yüz yüze ilişki kurmayı sağlamak için üçüncü taraf aracıları görevlendirdiği ve gerçek operasyonel elemanları uzakta tuttuğu biliniyor.

Mandiant soruşturma için resmen görevlendirildi ancak Drift güvenlik açığının sorumlusu konusunda henüz resmi bir açıklama yapmadı. Bu belirleme, halen devam eden cihaz adli incelemelerinin tamamlanmasını gerektiriyor.

Mevcut Müdahale Tedbirleri

Yayın tarihi itibariyle Drift aşağıdaki adımları atmıştır:

• Geri kalan tüm protokol işlevleri donduruldu.
• Güvenliği ihlal edilmiş cüzdanlar çoklu imza sisteminden kaldırıldı.
• Saldırgan cüzdanları, borsalar ve köprü operatörleri genelinde tespit edildi.
• Mandiant, başlıca adli tıp ortağı olarak görevlendirilmiştir.

Drift, bu ayrıntıları kamuoyuyla paylaşmasının amacının, ekosistemdeki diğer ekiplerin bu tür bir saldırının gerçekte nasıl göründüğünü anlamaları ve kendilerini buna göre korumak için adımlar atmaları olduğunu belirtti.

Sonuç

Drift Protokolü saldırısı, denetimden kaçan bir kod açığıyla ilgili bir hikaye değil. Bu, uzun süreli insan aldatmacasıyla ilgili bir hikaye. Saldırganlar, 285 milyon doları 12 dakikada ele geçirmeden önce, altı ay boyunca yüz yüze görüşmeler, çalışan bir kasa entegrasyonu ve kendi yatırdıkları 1 milyon dolardan fazla sermaye ile güvenilirlik oluşturdular.

 Kötü amaçlı kod deposu ve sahte TestFlight uygulaması gibi teknik saldırı yöntemleri, tam olarak bunların açılması için gereken güvenin önceden dikkatlice oluşturulmuş olması nedeniyle etkili oldu. 

DeFi protokolleri için ders açık ve net: saldırı yüzeyi yalnızca akıllı sözleşmelerle sınırlı değil. Her katkıda bulunan cihazı, her üçüncü taraf deposunu ve bir sektör konferansında kurulan her ilişkiyi içeriyor. UNC4736 bunu iki kez gösterdi; ilki Ekim 2024'te Radiant Capital'de, ikincisi ise Nisan 2026'da Drift'te, her seferinde aynı sabırlı ve kaynak destekli yaklaşımla.

Kaynaklar

1. X üzerinde Sürüklenme Protokolü5 Mart'ta yayınlandı

2. X'te PeckShield: Gönderiler (1-2 Nisan)

3. X'te Lookonchain: Gönderiler (1-2 Nisan)