Drift protokolünde yaşanan 270 milyon dolarlık saldırının detayları açıklanınca, olay yalnızca kaybın büyüklüğüyle değil, saldırı yönteminin sıra dışılığıyla öne çıktı. Ekibin aktardığına göre saldırı, akıllı kontratlardaki bir açık ya da teknik bir manipülasyonla gerçekleşmedi. Bunun yerine saldırganlar, yaklaşık altı aylık bir süreçte sahte kimliklerle küresel çapta yüz yüze temaslar kurarak güven inşa etti ve sistemin içine yerleşti.
İstihbarat taktiğiyle sosyal mühendislik
Saldırının arkasında Kuzey Kore menşeili kişilerin olduğu iddia edilirken, bu kişilerin yalnızca teknik açık aramak yerine, topluluğun bir parçası gibi hareket ettikleri belirtildi. Son yıllarda yasal incelemelerin teknik doğrulama, kod denetimi ve açıklık testleriyle sınırlı kaldığı DeFi piyasası, bu olayla teknik önlemlerin ötesinde sosyal saldırı riskine karşı da kırılgan olduğunu bir kez daha gösterdi. ENS Labs’ta Bilgi Güvenliği Yöneticisi olarak görev yapan Alexander Urbelis, bu tür saldırıların “hack” olarak adlandırılmaması, birer istihbarat operasyonu boyutuna ulaştığının altını çizdi.
Urbelis, konferanslara katılıp Drift katkıcılarıyla farklı ülkelerde görüşen, sisteme ciddi miktarda para yatırarak güven kazanan kişilerin klasik hackerlardan ziyade profesyonel saha ajanı gibi hareket ettiğini vurguladı. Bu bakış açısı doğrultusunda, Drift olayının teknik açık arayan hackerların değil, sosyal ortamda sabırla sistemin içine sızan kişilerin yeni bir yol haritası geliştirdiğini gösteriyor.
“Artık Kuzey Kore savunmasız kontratları değil, savunmasız insanları hedefliyor. Bu, sistemde açık bulmak değil, ajanlık yapmak.”
Son yıllarda gerçekleşen soruşturmalarda Kuzey Koreli grupların sahte geliştirici kimliğiyle kripto şirketlerine sızdığı, mülakatlardan geçip gerçek kimliğini gizleyerek ekibe katıldığı örnekler kayda geçmişti. Drift vakası ise bu yaklaşımın daha organize ve uzun vadeli operasyonlara dönüştürüldüğünü işaret ediyor.
Güven, en zayıf halka haline dönüştü
Günümüz DeFi projelerinde küçük, dinamik ekiplerin kişisel güven ilişkisine dayalı çalışması, kritik erişimlerin tek bir kişinin elinde toplanmasına yol açabiliyor. Bir proje üyesinin bile sosyal mühendislikle etkisiz hale getirilmesi, tüm sistemin savunmasız kalmasına yol açabiliyor. SVRN’da Operasyon Direktörlüğü yapan ve daha önce Robinhood ve Galaxy’de güvenlik yönetimi üstlenen David Schwed, Drift vakasını sektöre yönelik ciddi bir uyarı olarak görüyor.
“Artık karşılaşılan tehditler basit açık istismarıyla sınırlı değil; özgün kimlikler, uzun vadeli planlamalar ve bilinçli bir insan faktörü devreye giriyor. Takımlar yalnızca teknolojiyi değil, süreç ve insanı da temel güvenlik unsuru olarak değerlendirmeli.”
Bazı platformlar, güvenlik yaklaşımlarını güncellemeye başladı. Solana tabanlı DeFi platformu Jupiter’da kod denetimi ve açık kaynaklı çalışma sürerken, doğrudan kodun ötesinde yönetişim ve operasyonel güvenliğe odaklanılıyor. Multisig ve zaman kilidi gibi araçlar yaygınlaştırılırken, ekip içi güvenlik eğitimleri ve yeni izleme yöntemlerine yatırım yapılıyor.
Jupiter Operasyon Direktörü Kash Dhanda, çoklu denetim ve doğrulamanın artık temel gereklilik olduğunu, ancak asıl saldırı alanının yönetişim, topluluk ve insan hatası tarafına kaydığını belirtiyor. Dhanda, ekip içi operasyonel güvenlik eğitimleri ve anahtar kişilere yönelik izleme süreçlerinin güçlendirildiğini bildirdi. Ancak buna rağmen güvenliğin asla tamamlanan ve mutlak bir sonuca ulaşan bir süreç olarak değerlendirilemeyeceğine dikkat çekiyor.
dYdX Labs Operasyon Direktörü David Gogel de olayın, tamamen teknik önlemlerle aşılamayacak bir gerçeklikle karşı karşıya kalındığını gösterdiğini belirtti. Gogel, DeFi kullanıcılarına da sorumluluk düştüğünü; sistemin yapısını, multisig erişimlerini ve potansiyel insan kaynaklı zaafları göz önünde bulundurmaları gerektiğini vurguluyor.
Jito Labs CEO’su Lucas Bruder ise Drift saldırısının özünde koddan ziyade insan ilişkilerine dayalı bir güven açığının suistimal edildiğini belirtti. Bruder’a göre gerçek saldırı alanı, ekip üyelerinin erişimi ve kullandıkları cihazlar üzerinde yoğunlaşıyor. Sektörün, yalnızca sistem nasıl çalışıyor sorusu kadar, bir noktadan sistem tümüyle nasıl savunmasız hale gelebilir sorusunu da sorması gerektiği ifade ediliyor.
