Kripto güvenlik araştırma şirketi Elliptic, yılın en büyük siber saldırılarından birinde, Drift Protocol’de yaşanan 285 milyon dolarlık zararın ardında Kuzey Kore bağlantılı siber ekiplerin izine rastlandığını açıkladı. Drift Protocol, Solana blokzinciri üzerinde faaliyet gösteren ve işlem hacmiyle öne çıkan merkeziyetsiz vadeli işlemler platformu olarak biliniyor. Saldırı sonrası platformun yerel token’ı ciddi oranda değer kaybetti ve yaklaşık 0,06 dolar seviyesine geriledi.
Kapsamlı analizde şüpheler arttı
Elliptic tarafından hazırlanan raporda, blokzincir üzerindeki hareketler, kullanılan aklama yöntemleri ve ağdaki bazı teknik sinyallerin daha önce gerçekleştirilen devlet destekli saldırılarla örtüştüğü belirtildi. Şirket, Kuzey Kore Devlet Destekli (DPRK) siber gruplarının benzer yöntemlerle hareket ettiğini örneklerle aktardı.
Araştırmada, varlıkların ilk olarak farklı cüzdanlara yönlendirildiği, ardından kısa sürede bir çok adrese dağıtıldığı kaydedildi. Saldırının hemen öncesinde yapılan test işlemler ve saldırı için özel olarak hazırlanan cüzdanların bulunması, olayın organize biçimde planlandığını gösterdi.
Rapora göre, eğer Kuzey Kore bağlantısı kesinleşirse, Elliptic’in 2024 yılı itibarıyla izlediği on sekizinci Kuzey Kore kaynaklı saldırı kayıt altına alınmış oluyor. Şirket, bu yıl 300 milyon doları aşan varlığın benzer yöntemlerle ele geçirildiğini belirtiyor.
Kara para aklama teknikleri ve çapraz zincir hareketler
Raporda dikkat çekilen bir diğer detay, aklanan fonların çok kısa sürede konsolide edilip çeşitli blokzincirlere aktarılması oldu. Başlangıçta Solana ağında bulunan varlıklar, Ethereum ve diğer blokzincirlerinde farklı varlık türlerine çevrildi ve izinin sürülmesi güçleşti. Bu durum, saldırganların çapraz zincir hareketliliğe hâkim olduğunu ortaya koydu.
Elliptic’e göre, Solana ağında her varlık türü için farklı hesap sistemi kullanılması, saldırganların hareketlerini izlemeyi daha karmaşık hale getiriyor. Bir kişiyle ilişkili hareketler farklı adreslerde dağınık şekilde görünebildiğinden, araştırmacılar için bütün resmi görmek güçleşiyor.
Buna karşılık şirket, “hesap kümelendirme” yaklaşımıyla, ilgili token hesaplarının birbiriyle bağlantısını kurarak fon akışlarını daha bütünlüklü şekilde takip edebildiklerini ifade ediyor. Bu yöntem, olayda onlarca farklı varlık türünün aynı aktör tarafından kontrol edildiğinin tespitinde önemli rol oynadı.
Elliptic raporunda, “Kuzey Kore bağlantılı aktörler son yıllarda büyük miktarda dijital varlık ele geçirdi ve bu varlıkların ülkenin nükleer programının finansmanında kullanıldığı” değerlendirmesine yer verildi.
Konuyla bağlantılı olarak, Aralık 2024’te yayımlanan başka bir analizde, Kuzey Kore destekli saldırıların son yıllarda hız kazandığı ve sadece geçen yıl ele geçirilen dijital varlıkların 2 milyar doları bulduğu aktarılmıştı. ABD Hazine Bakanlığı da son açıklamasında, elde edilen gelirlerin kitle imha silahları programında finanse edildiğini duyurmuştu.
