Kripto para türev platformu Drift Protocol, 1 Nisan 2026’da gerçekleşen yaklaşık 285 milyon dolarlık saldırıya ilişkin yürüttüğü soruşturmanın ilk bulgularını kamuoyuyla paylaştı. Şirketin açıklamasına göre saldırı, ani bir güvenlik açığından ziyade, yaklaşık altı ay süren organize ve profesyonel bir sızma operasyonunun sonucu olarak gerçekleşti.
Drift, olayın tüm boyutlarını ortaya çıkarmak için güvenlik kuvvetleri, adli bilişim ekipleri ve ekosistem temsilcileriyle birlikte çalıştığını belirtti.
Soruşturma kapsamında elde edilen bulgular, saldırganların 2025 sonbaharından itibaren kendilerini bir “quant trading” firması olarak tanıtarak Drift ekibiyle sistematik şekilde ilişki kurduğunu gösteriyor. Bu kişiler, farklı ülkelerde düzenlenen büyük kripto konferanslarında ekip üyeleriyle yüz yüze temas kurarak güven inşa etti ve zaman içinde profesyonel bir iş ortağı profili çizdi. Telegram üzerinden yürütülen iletişimlerde, strateji geliştirme ve ürün entegrasyonu gibi konular detaylı şekilde ele alınırken, saldırganların platform üzerinde aktif bir varlık oluşturmak adına 1 milyon doların üzerinde sermaye yatırdığı ve bir “Ecosystem Vault” başlattığı da ifade edildi. Bu uzun soluklu etkileşim süreci, saldırganların yalnızca teknik değil, aynı zamanda sosyal mühendislik açısından da oldukça sofistike bir operasyon yürüttüğünü ortaya koydu.
Drift’in analizine göre saldırı, birden fazla teknik vektör üzerinden gerçekleştirildi. Ekip üyelerinden birinin, saldırganlar tarafından paylaşılan ve sözde bir frontend geliştirmeye yönelik olan kod deposunu klonlaması sonucu cihazının ele geçirilmiş olabileceği değerlendiriliyor. Bir başka ekip üyesinin ise saldırganların cüzdan uygulaması olarak sunduğu bir TestFlight uygulamasını indirerek virüs bulaştırdığı düşünülüyor. Ayrıca 2025 sonu ile 2026 başı arasında gündemde olan VSCode ve Cursor tabanlı güvenlik açıklarının da bu süreçte kullanılmış olabileceği ihtimali üzerinde duruluyor. Saldırının gerçekleştiği anda, saldırganlara ait tüm iletişim kayıtlarının ve zararlı yazılımların anında silinmiş olması, operasyonun ne kadar planlı ve profesyonel şekilde yürütüldüğünü gösteren önemli bir detay olarak öne çıkıyor.
Şirket, saldırının arkasındaki aktörlere ilişkin yaptığı değerlendirmede, bulguların orta-yüksek güven seviyesinde 2024 yılında gerçekleşen Radiant Capital hack 2024 ile bağlantılı olduğunu belirtti. Bu saldırının, daha önce UNC4736 olarak tanımlanan ve Kuzey Kore ile ilişkilendirilen bir grup tarafından gerçekleştirildiği biliniyor. Drift, operasyon sırasında yüz yüze görüşmeler gerçekleştiren kişilerin doğrudan Kuzey Kore vatandaşı olmayabileceğini, ancak bu tür devlet destekli grupların genellikle üçüncü taraf aracılar kullanarak fiziksel temas sağladığını belirtti.
Saldırının ardından Drift Protocol, protokol üzerindeki tüm kritik fonksiyonları geçici olarak durdurduğunu ve ele geçirilen cüzdanların multisig yapısından çıkarıldığını açıkladı. Saldırganlara ait adreslerin borsalar ve köprü operatörleri tarafından işaretlendiği belirtilirken, olayın teknik analizi için Mandiant ile çalışıldığı ifade edildi. Şirket, cihaz bazlı adli incelemelerin halen sürdüğünü ve yeni bulgular elde edildikçe kamuoyuyla paylaşılacağını duyurdu.
*Yatırım tavsiyesi değildir.