Giriş
Son dönemde, Drift Protokolü’nün maruz kaldığı 280 milyon dolarlık bir siber saldırı, bilinçli ve uzun süreli bir hazırlığın ürünü olarak değerlendirilmektedir. Bu olay, kripto para dünyasında güvenlik açıklarının ne denli tehlikeli olabileceğini bir kez daha gözler önüne sermektedir.
Saldırı Nasıl Çalışıyor?
Drift Protokolü, 1 Nisan’da sunduğu işlemler sırasında olağan dışı aktiviteler tespit etti ve bu durum sonunda fonların kaybı ile sonuçlanan bir saldırıyla ilişkilendirildi. Saldırının, Kuzey Koreli hackerlar tarafından gerçekleştirildiği ve kullanıcı varlıklarını sadece 12 dakika içinde boşalttıkları bildirildi.
Saldırının detayları, uygulamanın birçok aşamasında gerçekleştirilen sızma testleri ve uzun bir hazırlık süreci içerdiğini gösteriyor:
- Hackerlar, bir nicelik firması olarak kendilerini tanıttı ve Drift katkı sahipleri ile farklı kripto konferanslarında yüz yüze görüştü.
- Tebligat ve ticaret stratejileri üzerine Telegram kanalı üzerinden iletişim kurdular.
- Teknik olarak yetenekliydiler ve Drift’in işleyişi hakkında bilgi sahibiydiler.
- Telegram grubu, saldırının gerçekleşmesinden hemen sonra silindi.
Etkilenen Sistemler
Drift, saldırı vektörünü tam olarak belirleyemedi, ancak iki katkı sahibinin şu şekillerde tehlikeye girdiğini düşünüyor:
- VSCode/Cursor güvenlik açığını istismar eden, katkı sahibine paylaşılan kötü amaçlı kod deposu.
- Bir cüzdan ürünü olarak sunulan kötü amaçlı TestFlight uygulaması.
Yapılan araştırmalar, siber saldırının Kuzey Koreli bir tehdit aktörü olan UNC4736 (diğer adıyla AppleJeus ve Labyrinth Chollima) tarafından gerçekleştirildiğine dair güçlü bulgular sunuyor. Mandiant, bu tehdit grubunu daha önce Lazarus ile ilişkilendirmiştir.
Çözüm ve Korunma
Drift Protokolü, saldırının ardından tüm fonksiyonlarını dondurmuş ve etkilenen cüzdanları çoklu imza sürecinden çıkarmıştır. Saldırı gerçekleştiren cüzdanlar, borsa ve köprü operatörleri tarafından işaretlenerek, tehdit aktörlerinin fonları hareket ettirmesi ya da çekmesi engellenmiştir.
Kullanıcıların aşağıdaki önlemleri alması önerilmektedir:
- Drift uygulamasını hemen güncelleyerek en son güvenlik yamalarını uygulayın.
- Kötü amaçlı yazılımlara karşı tarama yapmak için güvenilir bir virüsten koruma yazılımı kullanın.
- Portlarınızı kontrol ederek gereksiz olanları kapatın.
- Güvenilmez kaynaklardan gelen iletişimlere dikkat edin ve bilinmeyen bağlantılara tıklamayın.
Sonuç
Bu tür saldırıların tekrarlanmaması için kullanıcıların ve geliştiricilerin güvenlik protokollerine titizlikle uyması gerekmektedir. Güncellemeleri zamanında yapmak ve potansiyel tehditlerin farkında olmak, uzun vadeli güvenlik stratejisinin bir parçasıdır. Drift Protokolü’nü kullanmaya devam edenlerin, yukarıda belirtilen adımları izlemeleri büyük önem taşımaktadır.
