Nisan ayında KelpDAO köprüsünden çalınan 292 milyon dolar ile haziranda Humanity Protocol’de özel anahtar hırsızlığı sonucu kaybedilen varlıklar arasında bağlantı bulunduğuna dair şüpheler, zincir üstü verilerle daha da güçlendi. Blokzincir analisti Specter, iki saldırıdan elde edilen fonların ortak cüzdanlarda birleştiğini ve bunun tek bir aklama hattına işaret eden bir örüntü oluşturduğunu açıkladı.
Fon akışı Bitcoin ağı üzerinde birleşti
Specter’ın paylaştığı verilere göre Humanity Protocol saldırganı 15.403 ETH’yi, yaklaşık 23,6 milyon dolar değerinde varlığı, nispeten yeni bir Ethereum adresine taşıdı. Ardından bu fonlar Bitcoin ağına geçirildi ve burada KelpDAO saldırısından geldiği izlenen gelirlerle aynı havuzda buluştu.
Fonların farklı saldırılardan sonra ortak Bitcoin cüzdanlarında toplanması, ardından karıştırıcılar ve tezgah üstü işlemler üzerinden yönlendirilmesi, Lazarus grubuyla ilişkilendirilen operasyonlarda sık görülen bir yöntem olarak öne çıkıyor.
Araştırmacılar bu yöntemin Kuzey Kore bağlantılı Lazarus grubunun daha önceki operasyonlarında da görüldüğünü değerlendiriyor. ZachXBT ve Specter’ın incelediği transfer izleri, iki ayrı olayın finansal çıkış noktasında birleştiğini gösteriyor.
Mini sözlük: RPC düğümü, blokzincir uygulamalarının ağla iletişim kurmasını sağlayan teknik altyapıdır. DDoS saldırısı ise çok sayıda isteğin aynı anda gönderilmesiyle bir hizmetin erişilemez hale getirilmesini amaçlar.
KelpDAO saldırısında köprü mekanizması hedef alındı
Chainalysis’in incelemesine göre 18 Nisan’daki KelpDAO saldırısında saldırganlar, LayerZero Labs tarafından işletilen dahili RPC düğümlerini ele geçirdi ve eş zamanlı olarak dış düğümlere DDoS saldırısı düzenledi. Bu sayede Ethereum köprü sözleşmesi yanıltıldı ve kaynak zincirde karşılık gelen yakım işlemi olmadan 116.500 rsETH serbest bırakıldı.
Saldırı Lazarus grubuna atfedildi. Arbitrum Security Council saldırganla bağlantılı aşağı akış fonların 30.000 ETH’den fazlasını dondurdu. KelpDAO’nun devreye aldığı acil durdurma mekanizması da ek 95 milyon doların sistemden çıkarılmasını engelledi.
Humanity Protocol olayında oltalama saldırısı öne çıktı
Humanity Protocol’deki ihlal farklı bir teknik yöntemle gerçekleşse de olay sonrası bulgular yine Kuzey Kore bağlantılı aktörlere işaret etti. Quantstamp’ın 11 Haziran tarihli olay raporuna göre saldırgan, şirket yöneticilerinden Chong Yee Wai’ı Güney Kore merkezli kripto para borsası Bithumb kimliğine bürünen zararlı bir eposta ile kandırdı.
Quantstamp, saldırının Kuzey Kore kaynaklı sızmalarda görülen özellikler taşıdığını ve zararlı yazılımın saldırgana uzak masaüstü erişimi sağladığını bildirdi.
Saldırgan daha sonra Chong’un Windows cihazındaki MetaMask cüzdan anahtarlarını kopyaladı. Bu anahtarlar kullanılarak Ethereum ve BNB Smart Chain üzerinde yetkisiz $H token basıldı ve satıldı. Olayın ardından token fiyatı yaklaşık %89 geriledi. Quantstamp, bilinen saldırgan adreslerinde tutulan gelirlerin 21 milyon doların üzerinde ETH değerine ulaştığını belirledi.
Hukuki süreç kurtarma planlarını zorlaştırıyor
Soruşturmanın bir diğer boyutunu hukuki süreçler oluşturuyor. Kuzey Kore’ye karşı ABD mahkemelerinde ödenmemiş toplam 877 milyon doların üzerinde karar bulunduğu belirtiliyor. Davacılar mayısta, 30 Nisan tarihli ihtiyati haciz bildirimiyle Arbitrum DAO’dan dondurulan yaklaşık 30.766 ETH’ye, yani yaklaşık 71 milyon dolara el konulmasını talep etti.
Davacılar, fonların Kuzey Kore bağlantılı olması nedeniyle bu varlıkların tahsilat kapsamında değerlendirilebileceğini savunuyor. Öte yandan Arbitrum tarafında, dondurulan KelpDAO fonlarının Aave Labs, KelpDAO, LayerZero, EtherFi ve Compound destekli bir kurtarma girişimine aktarılması yönünde yönetişim süreci başlatılmıştı. Mahkeme daha sonra Arbitrum oylamasına onay verdi ve KelpDAO fonlarının Aave’e taşınmasının önü açıldı.
Bu son zincir üstü doğrulamanın ardından Humanity Protocol kaynaklı kayıpların ve olası geri alma girişimlerinin de benzer davalara konu olup olmayacağı belirsizliğini koruyor.
