Drift Protocol’de yaklaşık 270 milyon dolar zararla sonuçlanan saldırı ile ilgili yeni ayrıntılar ortaya çıktı. Protokol ekibinin paylaştığı güncel bilgilere göre, bu plan kapsamında Kuzey Kore devletiyle bağlantılı bir grup altı aylık bir hazırlık süreci yürüttü.
Operasyonun hazırlık süreci ve sızma yöntemi
2025 sonbaharında büyük bir kripto para konferansında başlayan ilk temas sırasında, saldırganlar kuantitatif alım satım firması görünümüyle Drift ekosistemine yaklaşmaya çalıştı. Teknik bilgiye ve doğrulanabilir profesyonel geçmişe sahip olan grup üyeleri, protokolün çalışma prensiplerini detaylı şekilde kavrayarak güven kazandı.
Grup, ekim ayından başlayarak Telegram üzerinden erişim sağladı ve DeFi protokolleriyle standart süreç olarak görülen ticaret stratejileriyle ilgili iletişimi başlattı. Aralık 2025 ile Ocak 2026 arasında, Drift üzerinde kendi sermayelerinden bir milyon doların üzerinde fon yatırdı, ekosistemde işlevsel bir varlık oluşturdu ve ekipten birçok kişiyle yüz yüze temas kurdu.
Şubat ve mart ayları boyunca, Drift katkıcıları ile grup üyeleri birçok farklı ülkede gerçekleştirilen sektörel etkinliklerde bir araya geldi. İlişki bu aşamada ciddi bir güven ortamı oluşturacak şekilde ilerledi.
Saldırı vektörleri ve güvenlik zaafları
Olayın teknik boyutunda iki temel saldırı vektörünün etkili olduğu anlaşıldı. Grup üyelerinden birinin Apple’ın TestFlight platformu üzerinden geliştirdiği cüzdan uygulamasını ekosisteme tanıttığı, böylece güvenlik kontrollerini atlamayı başardığı belirtildi.
Bir diğer zafiyet ise, yazılım geliştirme alanında yaygın olarak kullanılan VSCode ve Cursor isimli kod editörlerinde alınan bir açık oldu. 2025 sonundan itibaren güvenlik topluluğu tarafından gündeme getirilen bu açık sayesinde, saldırganlar sadece bir dosya veya klasörün açılmasıyla zararlı kod çalıştırarak cihazları ele geçirdi.
Bu yöntemlerle güvenlik kontrollerini geçen grup, hem çoklu imza altyapısı üzerinde hareket edebilecek yetkiyi hem de saldırı için gereken erişimi elde etti. Önceden hazırlanmış olan işlemler ise bir haftadan uzun süre bekletildikten sonra 1 Nisan’da çalıştırıldı ve protokoldeki fonlar dakikalar içerisinde çekildi.
Saldırının arkasında Kuzey Kore’ye bağlı UNC4736 adlı grubun olduğu yönünde işaretler mevcut. Sektörde AppleJeus ve Citrine Sleet isimleriyle de takip edilen bu grup, son dönemde öne çıkan bazı diğer saldırılarla bağlantılı olarak biliniyor.
Konferanslarda bizzat görülen kişilerin Kuzey Kore vatandaşı olmadığı tespit edildi. Bu tür operasyonlarda sızmak için gelişmiş sahte kimlikler ve profesyonel ağlarla üçüncü taraf temsilciler kullanılabiliyor.
Drift ekibi sektördeki diğer protokollere; çoklu imza erişim noktalarını ve cihaz güvenliğini sıkı şekilde denetleme çağrısı yaptı. Gelişmeler, multisig yönetiminin güvenlik modeli olarak sınırlarının tekrar gündeme gelmesine yol açtı.
