Kuzey Kore bağlantılı hacker grupları, 2024’ün başından bu yana toplam 2.83 milyar dolar değerinde kripto para çaldı. Çok Uluslu Yaptırımlar İzleme Ekibi’nin (MSMT) son raporuna göre yalnızca bu yılın ilk dokuz ayında 1.64 milyar dolar değerinde kripto para saldırılarla çalınarak ele geçirildi. Tutar ülkenin 2024’teki döviz gelirlerinin yaklaşık üçte birine denk geliyor.
Bybit Saldırısı Kripto Para Kaybının En Büyük Kaynağı Oldu
Ekim 2024’te 11 ülkenin oluşturduğu MSMT, Kuzey Kore’nin siber suçlarla yaptırımları nasıl aştığını izlemek amacıyla kuruldu. Kurumun son raporuna göre 2025’te kripto para hırsızlığı önceki yıla göre yüzde 50 arttı. En büyük kayıp Şubat ayında Bybit borsasını hedef alan saldırıdan geldi. TraderTraitor (diğer adıyla Jade Sleet veya UNC4899) grubuna bağlı hacker’lar Bybit’in çoklu imzalı cüzdan sağlayıcısı SafeWallet’e sızarak dahili transfer gibi görünen işlemlerle soğuk cüzdan akıllı sözleşmesini ele geçirdi.
Raporda hacker’ların genellikle doğrudan borsaları değil, üçüncü taraf hizmet sağlayıcıları hedef aldığı belirtildi. TraderTraitor, CryptoCore ve Citrine Sleet gibi grupların sahte geliştirici profilleri kimlik hırsızlığı ve tedarik zinciri bilgisiyle saldırılarını derinleştirdiği ifade edildi. Web3 projesi Munchables’ın 63 milyon dolarlık kaybı da bu yöntemlerin bir örneği olarak gösterildi. Fonlar sonrasında iade edilse de aklama sürecinde yaşanan zorluklar dikkat çekti.
Karmaşık Aklama Ağı ve Küresel İş Birlikleri
MSMT’nin analizine göre çalınan varlıklar dokuz aşamalı bir süreçle nakde çevriliyor. İlk adımda kripto paralar merkeziyetsiz borsalarda Ethereum 
$3,105.37’a (ETH) dönüştürülüyor, ardından Tornado Cash ve Wasabi Wallet gibi kripto karıştırıcı servisler aracılığıyla izler siliniyor. Ethereum daha sonra Bitcoin 
$91,343.90’e (BTC) çevrilip köprü platformlarından geçirilerek yeniden karıştırılıyor. Soğuk cüzdanlara aktarılan BTC, Tron (TRX) üzerinden USDT’ye dönüştürülüyor ve son aşamada tezgah üstü (OTC) aracılara gönderilerek nakde çevriliyor.
Çin, Rusya ve Kamboçya merkezli kişi ve şirketlerin bu zincirde kilit rol oynadığı tespit edildi. Shenzhen Chain Element Network Technology çalışanları Ye Dinrong ve Tan Yongzhi’nin yanı sıra trader Wang Yicong’un sahte kimlikler ve hesaplar oluşturduğu belirlendi. Rus aracıların Bybit saldırısında elde edilen 60 milyon doları akladığı, Kamboçya’daki Huione Pay’in ise lisansı yenilenmemesine rağmen transferlerde kullanıldığı bildirildi.
MSMT, Pyongyang bağlantılı grupların 2010’lardan bu yana Rusça konuşan siber suçlularla işbirliği yaptığını ve Moonstone Sleet’in 2025’te Rusya merkezli Qilin grubundan fidye yazılımları kiraladığını kaydetti. Kurum BM’ye bağlı tüm ülkeleri siber tehditlere karşı farkındalığı artırmaya davet ederken, Güvenlik Konseyi’ne de feshedilen Uzmanlar Paneli’nin yeniden etkinleştirilmesi çağrısında bulundu.
