Kuzey Kore'nin 577 Milyon Dolarlık DeFi Saldırısı: Drift ve Kelp 18 Günde Hacklendi

Kuzey Kore devletine bağlı hackerlar, tek bir ay içinde Drift Protocol ve Kelp DAO'dan toplamda 577 milyon dolardan fazla varlık boşaltarak tarihin en büyük iki merkeziyetsiz finans (DeFi) istismarını gerçekleştirdi. Blokzinciri analiz firmaları, zincirler arası altyapı sağlayıcıları ve bağımsız güvenlik araştırmacıları, her iki saldırıyı da —değişen güven seviyeleriyle— Kuzey Kore devlet aygıtı altında faaliyet gösteren siber birimlere atfetti; analistler bu durumu DeFi altyapısına yönelik tırmanan ve koordineli bir kampanya olarak nitelendiriyor.

Drift Protocol İstismarı: Altı Aylık Bir Sızma

1 Nisan 2026 tarihinde saldırganlar, Solana üzerindeki en büyük merkeziyetsiz sürekli vadeli işlem borsası olan Drift Protocol'den yaklaşık 285 milyon dolar boşalttı. Bu olay, o noktada yılın en büyük DeFi hack'i ve 2022'deki 326 milyon dolarlık Wormhole köprüsü hack'inin ardından Solana tarihindeki en büyük ikinci istismar oldu. Drift'in vaka analizi (post-mortem), saldırıyı "altı aylık bir hazırlık süreci" olarak tanımladı ve orta dereceli güvenle; AppleJeus, Citrine Sleet ve Gleaming Pisces olarak da izlenen, en az 2018'den beri kripto para sektörünü hedef alan Kuzey Kore devlet destekli tehdit aktörü UNC4736'ya atfetti. Saldırı vektörü bir akıllı sözleşme hatası değildi. Aksine; sosyal mühendislik, yönetişim manipülasyonu ve amaca yönelik üretilmiş sahte bir tokenin birleşimiydi:

• Aralık 2025 ile Ocak 2026 arasında, kendilerini kantitatif bir ticaret firması olarak tanıtan görevliler, Drift üzerinde bir Ekosistem Kasası (Ecosystem Vault) açtı, strateji belgeleri sundu ve güvenilirlik oluşturmak için 1 milyon doların üzerinde kendi sermayelerini yatırdı.
• Saldırgan, CarbonVote (CVT) adlı hayali bir token üretti, bunu minimum likidite ve sahte işlem hacmiyle besledi, ardından Drift'in oracle'larını (fiyat sağlayıcılarını) bu tokeni geçerli bir teminat olarak kabul etmeleri için manipüle etti.
• 23-30 Mart tarihleri arasında saldırgan, Drift Güvenlik Konseyi üyelerini, Solana'nın "durable nonce" özelliğini kullanarak kötü niyetli işlemleri önceden imzalamaları için kandırdı ve 5 üzerinden 2 çoklu imza (multisig) onayı aldı. Bu özellik, yetkilendirmelerin infaz gününe kadar uykuda kalmasına izin verdi.
• 1 Nisan'da tetiklendiğinde kasalar yaklaşık 12 dakika içinde boşaltıldı ve çalınan fonların çoğu birkaç saat içinde Ethereum'a köprülendi.
• İstismarın ardından DRIFT tokeni %40'ın üzerinde değer kaybetti ve protokolün kilitli toplam değeri (TVL) yaklaşık 550 milyon dolardan 250 milyon doların altına geriledi. Drift bağımlılığı olan bir düzine Solana protokolü operasyonlarını durdurdu.

Kelp DAO İstismarı: Ölçekli Altyapı Zehirlenmesi

18 Nisan'da, kullanıcı ETH'lerini EigenLayer üzerinden yönlendiren bir likit restaking protokolü olan Kelp DAO, 292 milyon dolarlık bir istismarın kurbanı oldu. Saldırının Kuzey Kore devlet destekli Lazarus Group, özellikle de TraderTraitor alt birimi tarafından gerçekleştirildiği doğrulandı. Bu olay, Drift'i geride bırakarak 2026'nın en büyük tekil DeFi istismarı oldu. Saldırganlar, LayerZero doğrulayıcısının zincirler arası işlemleri onaylamak için güvendiği iki RPC düğümünü (node) ele geçirdi ve düğüm yazılımlarını yanlış veri raporlayan kötü amaçlı sürümlerle değiştirdi. Ardından, geri kalan dürüst düğümlere karşı dağıtık hizmet reddi (DDoS) saldırısı başlatarak sistemi ele geçirilmiş uç noktalara geçiş yapmaya (failover) zorladılar. Bu durum LayerZero doğrulayıcısını kandırarak sahte bir zincirler arası işlemi onaylamasını ve 116.500 rsETH'nin saldırganlara serbest bırakılmasını sağladı. LayerZero, ihlali kısmen Kelp'in kendi güvenlik yapılandırmasına bağladı: Protokol 1'e 1 doğrulayıcı kurulumuyla çalışıyordu; bu, rsETH köprüsüne gelen ve giden mesajları doğrulayan tek kuruluşun LayerZero Labs olduğu anlamına geliyordu — LayerZero, bu yapılandırma konusunda daha önce uyarıda bulunduğunu belirtti. Salgın DeFi sektörü genelinde hızla yayıldı:

• 18 Nisan istismarı, potansiyel batık borç endişeleriyle Aave'den 10 milyar dolarlık bir çıkışı tetikledi.
• DeFi genelindeki toplam kilitli değer, saldırıdan sonraki 24 saat içinde yaklaşık %7 düşerek 99,5 milyar dolardan 86,3 milyar dolara geriledi.
• Ethena, ether.fi, Tron DAO ve Curve Finance dahil olmak üzere birkaç DeFi ekibi, yanıt olarak LayerZero omnichain fungible token köprülerini durdurdu.

Değişen ve Tırmanan Tehdit

Aynı Kuzey Koreli birim, 18 gün içinde yapısal olarak farklı iki saldırı vektörüyle DeFi'den 577 milyon dolardan fazla para sızdırdı: Drift'te yönetişim imzacılarının sosyal mühendislikle kandırılması ve Kelp'te altyapı RPC'lerinin zehirlenmesi. Analistler, Kelp istismarının Kuzey Koreli Lazarus Group'un münferit hack'lerin ötesine geçtiğine, taktiklerini hızla sosyal mühendislikten kripto altyapısındaki yapısal zayıflıkları istismar etmeye kaydırdığına dikkat çekiyor; bu durum, tek seferlik olaylardan ziyade sürdürülebilir, devlet odaklı bir kampanyaya işaret ediyor. Eğer her iki olayda da KDC (Kuzey Kore) atfı doğrulanırsa, bu durum rejimin 2026 yılı için teyit edilen toplam kripto hırsızlığını 600 milyon doların üzerine çıkaracaktır; ABD hükümeti bu gelirleri daha önce Pyongyang'ın silah programlarıyla ilişkilendirmişti. LayerZero o zamandan beri, 1'e 1 doğrulayıcı yapılandırmasıyla çalışan hiçbir proje için mesaj imzalamayacağını duyurdu ve çoklu DVN kurulumlarına geçişi hızlandırıyor. Güvenlik araştırmacıları ve protokol geliştiricileri, geniş DeFi endüstrisini; yönetişim zaman kilitlerini (timelocks), oracle derinlemesine savunmasını ve zincirler arası doğrulama yedekliliğini opsiyonel yapılandırmalar değil, tartışılamaz temel gereklilikler olarak görmeye çağırıyor.

Coinplurk.com tarafından yayınlanmıştır.