Kuzey Kore'nin DeFi Sektöründe Yıllar Süren İnfiltrasyon Operasyonu
Kuzey Kore ile bağlantılı yazılımcılar, kripto firmaları ve merkezi olmayan finans (DeFi) platformlarına sessizce yerleşerek içeriden saldırı düzenleme konusunda alarm çanlarını çalmıştır. Bu tehdit, ülkenin siber aygıtına bağlı birden fazla yüksek değerli saldırıdan sonra, endüstri içinde iç tehdit riskine ilişkin yeni kaygılar uyandırmıştır.
MetaMask geliştirici ve güvenlik araştırmacısı Taylor Monahan, bu tür operasyonların merkezi olmayan finansın ilk günlerine kadar uzandığını belirtmiştir. Kuzey Kore ile bağlantılı bireylerin, yaygın olarak kullanılan birçok protokole katkıda bulunduğunu açıklamıştır. Monahan'a göre, son 7 yılda 40'tan fazla platform (bunların arasında birçok tanınmış proje bulunmaktadır) bu tür yazılımcılara güvenmiştir.
Dikkat çekici olan nokta, bu yazılımcıların özgeçmişlerinde yer alan "7 yıllık blockchain geliştirme deneyimi" ifadesinin yalan olmadığıdır. Gerçekten de uzun süredir sektöre entegre olmuş, deneyimli bireyler olarak faaliyet göstermişlerdir.
Lazarus Grubu: DeFi Sektörünün En Büyük Tehdidi
Araştırmacılar uzun zamandır Kuzey Kore'nin siber operasyonlarını Lazarus Grubu adlı devlet destekli bir kolektifle ilişkilendirmektedir. R3ACH analizcilerine göre, bu grup 2017 yılından bu yana yaklaşık 7 milyar dolar değerinde dijital varlık çalmıştır.
Lazarus Grubu, endüstrinin en büyük ihlallerinin bazılarıyla ilişkilendirilmiştir. Bunlara 2022 yılındaki 625 milyon dolarlık Ronin Bridge saldırısı, 2024'teki 235 milyon dolarlık WazirX hack'i ve 2025'teki 1,4 milyar dolarlık Bybit olayı dahildir. Son olarak geçen hafta Drift Protocol'e yapılan 280 milyon dolarlık saldırı yeni soruşturmaları tetiklemiştir.
Sosyal Mühendislik: Sofistike Sahte Kimlikler Kullanarak Güven Oluşturma
Drift Protocol'ün açıklamasına göre, saldırının arkasında "orta-yüksek güvenlikte" Kuzey Kore devlet bağlantılı bir grup bulunmaktadır. Ancak ihlale yol açan yüz yüze görüşmeler Kuzey Koreli vatandaşlarla değil, "tamamen yapılandırılmış kimlikler, iş geçmişleri, kamuya açık kimlik bilgileri ve profesyonel ağlar" ile teçhiz edilmiş "üçüncü taraf aracılar" tarafından gerçekleştirilmiştir.
Bu sahte profiller, saldırı öncesinde yüz yüze etkileşimler yoluyla güven oluşturmayı mümkün kılmıştır. İstihdam geçmişi, kamuya açık kimlik bilgileri ve aktif profesyonel ağlar ile donatılmış bu bireyler, kripto firmalarının içine yerleşmeyi başarmıştır.
Tehdidin Gerçek Doğası: Basit Ama Dirençli Taktikler
Bağımsız blockchain araştırmacısı ZachXBT, Kuzey Kore ile bağlantılı tüm tehditlerin aynı sofistikasyon seviyesinde olmadığını uyarmıştır. "Ana sorun, herkesin onları bir araya toplarken tehdit karmaşıklığının farklı olmasıdır" demiştir.
Infiltrasyon girişimlerinin çoğu teknik karmaşıklıktan ziyade, dirençlilik ve ısrara dayandığını belirtmiştir. İş ilanları, LinkedIn, e-posta, Zoom görüşmeleri ve mülakat süreçleri aracılığıyla yapılan erişim girişimleri oldukça yaygındır.
ZachXBT, bu tür taktikleri "temel ve hiçbir şekilde sofistike değil, tek şey bunların ısrarcı olması" şeklinde nitelemiştir. 2026'da hala bu tür basit saldırılara yem olan ekiplerin ihmal edici olarak görülme riskiyle karşı karşıya olduğunu vurgulamıştır.
