Altcoin Drift Protokol ekibi hack olayının ardından kolluk kuvvetleri, adli bilişim ortakları ve ekosistem paydaşlarıyla birlikte saldırının nasıl gerçekleştiğini netleştirmeye çalıştığını açıkladı. 5 Nisan 2026 tarihinde X üzerinden yapılan açıklamada ilk bulgular saldırının ani bir ihlalden çok aylar süren planlı ve organize bir sızma operasyonu olabileceğine işaret etti. Drift topluluğun benzer tehditlere karşı daha hazırlıklı olması için bazı ayrıntıları kamuoyuyla paylaştı.
Protokol İşlevleri Donduruldu: İnceleme Sürüyor
Drift’in açıklamasına göre protokolde kalan tüm işlevler geçici olarak donduruldu. Ele geçirilen cüzdanlar multisig yapısından çıkarıldı. Saldırganlara ait olduğu değerlendirilen cüzdan adresleri ise borsalar ve köprü operatörleri nezdinde işaretlendi. Şirket ayrıca soruşturma süreci için siber güvenlik firması Mandiant ile çalışmaya başladığını duyurdu.
Paylaşılan bilgilere göre olayla ilgili inceleme halen devam ediyor. Buna rağmen mevcut veriler, saldırının teknik bir açıktan yararlanmanın ötesine geçtiğini,insan ilişkileri ve güven inşası üzerinden ilerleyen çok katmanlı bir operasyon içerdiğini gösterdi. Drift, bazı teknik ayrıntıların aktif soruşturmanın selameti için şimdilik üst düzey tutulduğunu da özellikle vurguladı.
Saldırı Hazırlığının Aylar Öncesine Uzandığı Öne Sürüldü
Ön soruşturma bulgularına göre saldırının kökeni 2025 sonbaharına kadar gidiyor. Drift katkıcılarının, büyük bir kripto para konferansında kendilerini nicel işlem firması olarak tanıtan bir grupla tanıştığı belirtildi. İlk temasın ardından Telegram üzerinden iletişim kuruldu ve taraflar arasında işlem stratejileri ile potansiyel vault entegrasyonları hakkında aylar süren görüşmeler gerçekleşti.
Drift’in anlatımına göre söz konusu grup Aralık 2025 ile Ocak 2026 arasında protokol üzerinde bir Ecosystem Vault devreye aldı. Bunun için strateji detaylarını içeren formlar dolduruldu. Birden fazla katkıcıyla çalışma oturumları yapıldı ve 1 milyon doların üzerinde sermaye yatırıldı. Sürecin Şubat ve Mart 2026 boyunca da yüz yüze temaslarla sürdüğü bu nedenle ilgili kişilerin ekip için yabancı değil uzun süredir ilişki kurulan karşı taraflar olarak görüldüğü aktarıldı.
Olası Saldırı Vektörleri Üç Başlıkta Toplandı
Drift, mevcut bulgular ışığında üç muhtemel saldırı vektörü üzerinde duruyor. Bunlardan ilki, bir katkıcının vault için ön yüz dağıtımı yapma bahanesiyle paylaşılan bir kod deposunu klonladıktan sonra ele geçirilmiş olabileceği ihtimali. İkinci olasılıkta ise başka bir katkıcının grubun kendi cüzdan ürünü gibi sunduğu bir TestFlight uygulamasını indirmeye yönlendirildiği belirtiliyor.
Üçüncü başlık ise geliştirici araçları tarafındaki bilinen güvenlik açıklarına dayanıyor. Drift özellikle Aralık 2025 ile Şubat 2026 döneminde güvenlik çevrelerinde gündemde olan VSCode ve Cursor kaynaklı bir zafiyet ihtimaline dikkat çekti. Bu senaryoda yalnızca bir dosya, klasör ya da kod deposunun editörde açılmasının bile kullanıcıya herhangi bir uyarı göstermeden keyfi kod çalıştırılmasına yol açmış olabileceği değerlendiriliyor. Etkilenen cihazlar üzerindeki detaylı adli analizler ise halen sürüyor.
Drift Saldırısında Kuzey Kore Bağlantısı Şüphesi
Drift’in açıklamasında, SEALS 911 ekibinin yürüttüğü incelemelere dayanan orta-yüksek güven seviyesinde bir değerlendirmeye de yer verildi. Buna göre operasyonun Ekim 2024’teki Radiant Capital saldırısıyla ilişkilendirilen ve Mandiant tarafından UNC4736 olarak izlenen Kuzey Kore bağlantılı tehdit aktörleriyle benzerlik taşıdığı düşünülüyor. Değerlendirme hem zincir üstü fon hareketlerine hem de kampanyada kullanılan kimliklerin operasyonel örtüşmelerine dayanıyor.
Bununla birlikte Drift, yüz yüze görüşmelerde yer alan kişilerin Kuzey Kore vatandaşı olmadığını açık biçimde belirtti. Açıklamada bu ölçekte faaliyet gösteren yapıların ilişki kurma ve güven kazanma süreçlerinde üçüncü taraf aracılar kullanmasının bilinen bir yöntem olduğu ifade edildi. Mandiant’ın ise Drift olayına dair resmi atfını henüz tamamlamadığı bunun için cihaz adli analizlerinin sonuçlanmasının beklendiği aktarıldı.
Ekosisteme Uyarı: Her erişim Noktası Potansiyel Hedef Olabilir
Drift, şimdiye kadarki bulguların kullanılan profillerin oldukça inandırıcı biçimde hazırlandığını gösterdiğini bildirdi. İddialara göre bu kimliklerde iş geçmişi, açık kaynak profesyonel referanslar ve kamuya açık ağlar dahil olmak üzere detaylı bir kurgu yer aldı. Böylece karşı tarafın normal bir iş ilişkisi yürütüyormuş gibi görünmesi sağlandı.
Protokol ekibi, diğer kripto para projelerine de ekip erişimlerini yeniden denetleme, multisig ile temas eden tüm cihazları potansiyel hedef gibi değerlendirme ve şüpheli faaliyetlerde hızlı hareket etme çağrısı yaptı. Aynı grupla ya da benzer yöntemlerle hedef alınmış olabileceğini düşünen ekiplerin SEAL 911 ile temasa geçmesi istendi.