Son dönemde DeFi tarafında yaşanan saldırılar yeniden aynı soruyu gündeme getirdi: bu işlerin arkasında gerçekten Kuzey Kore mi var? Özellikle Kelp DAO hack’i sonrasında oklar yine Lazarus Group üzerine çevrildi. Bu yazıda hype’tan uzak; gerçekten ne biliyoruz, neyi bilmiyoruz onu netleştirelim.
Kelp DAO Hack’i: Neden Önemli?
18 Nisan 2026’da yaşanan ve 292 milyon dolarlık rsETH’in çalınmasıyla sonuçlanan Kelp DAO olayı birkaç önemli noktayı bir araya getirdi:
- DeFi protokollerinin hâlâ kırılgan olduğunu gösterdi
- Saldırganların artık sadece teknik değil, operasyonel olarak da çok güçlü olduğunu ortaya koydu
- Ve en önemlisi: bu tarz saldırıların tekil hackerlardan ziyade organize yapılar tarafından gerçekleştirildiğini hatırlattı
Bu noktada Lazarus ismi yine gündemin merkezine oturdu.
Lazarus Group Nedir?
Lazarus, popüler kültürdeki algının aksine tek bir hacker grubu değil. Daha doğru tanım şu: birden fazla alt birimden oluşan, devlet bağlantılı olduğu düşünülen bir “şemsiye organizasyon”.
Yaygın sınıflandırmaya göre alt gruplar şöyle:
- APT38 — Banka ve finans saldırıları
- BlueNoroff — Kripto ve DeFi operasyonları
- Andariel — Daha çok siber casusluk
Yani DeFi hack’leri genelde BlueNoroff hattına yazılıyor.
Neden Kripto?
Kritik soru bu. Kuzey Kore, ağır yaptırımlar altında ve global finans sistemine erişimi son derece sınırlı. Bu yüzden:
Siber saldırılar = döviz kazanma mekanizması haline geldi.
Kripto özellikle cazip çünkü sınır tanımıyor, fonların geri dönüşü zor ve anonimlik (tam olmasa da) yüksek. BM tahminlerine göre Kuzey Kore’nin son birkaç yılda kripto saldırılarından elde ettiği gelir, ülkenin nükleer ve füze programlarına önemli bir kaynak sağladı.
Lazarus’un Bilinen Operasyonları
Lazarus’a atfedilen bazı büyük olaylar:
- 2014 Sony Pictures saldırısı — büyük çaplı veri sızıntısı ve sistemlerin tahrip edilmesi
- 2016 Bangladesh Bank soygunu — SWIFT ağı üzerinden 81 milyon dolarlık transfer
- 2017 WannaCry ransomware — küresel ölçekli fidye yazılımı saldırısı
- 2022 Ronin Bridge hack — Axie Infinity’nin köprüsünden 625 milyon dolarlık çıkış
- 2024 DMM Bitcoin — Japonya merkezli borsadan ~300 milyon dolar
- 2020 sonrası çok sayıda kripto hack’i (toplamda milyarlarca dolar)
Pattern oldukça net: finansal sistemleri hedef al, parayı çek, izleri karıştır.
Nasıl Yapıyorlar?
“Elite hacker” romantizmini bir kenara bırakalım. Gerçek yöntemler çok daha banal ama etkili:
1. Social Engineering (en kritik parça)
- Sahte iş teklifleri
- LinkedIn üzerinden yaklaşım
- Developer’ları hedef alma (özellikle wallet ve smart contract geliştiricileri)
- “Coding challenge” adı altında zararlı yazılım barındıran proje paylaşımı
2. Zararlı Yazılım
- Supply chain saldırıları (npm, PyPI gibi paket havuzlarında zehirli kütüphaneler)
- Wallet ve signing environment compromise
- Geliştirici makinelerinde uzun vadeli kalıcılık (persistence)
3. Para Aklama
- Mixer’lar (Tornado Cash gibi)
- Chain hopping (zincirler arası transferle iz karıştırma)
- Layered wallet yapıları
- P2P borsalar üzerinden çıkış
Özet bir formülle: hack = %70 insan, %30 teknoloji.
Gerçekten Kuzey Kore mi?
Burada dürüst olmak gerekir.
Bildiklerimiz
ABD, Güney Kore ve birçok ülke Lazarus’u resmi olarak DPRK (Demokratik Halk Cumhuriyeti Kore — Kuzey Kore) ile ilişkilendiriyor. Teknik analiz delilleri arasında şunlar var:
- Kod tekrarları (farklı operasyonlarda aynı imzalı yazılım parçaları)
- Altyapı izleri (IP’ler, sunucular, sertifikalar)
- Operasyon pattern’leri (saatler, dil kalıntıları, hata mesajları)
- Mali iz takibi (zincir analizi şirketlerinin tespit ettiği fon hareketleri)
Ama
Siber dünyada yüzde yüz kesinlik yok. False flag operasyonları mümkün; proxy aktörler kullanılabilir; üçüncü taraf siber suç grupları benzer pattern’leri taklit edebilir. En gerçekçi yorum şu: “yüksek ihtimalle Kuzey Kore bağlantılı, ama matematiksel kesinlik yok.”
Peki Neden Web Siteleri Kötü Ama Hack’ler İyi?
Bu çok sorulan bir soru. Kuzey Kore’nin internet sitelerinin tasarımı 1995 seviyesindeyken siber operasyonlarının dünya çapında etki yaratması bir paradoks gibi görünüyor.
Cevap aslında basit ve önceliklerle ilgili:
| Alan | Öncelik |
|---|---|
| Web siteleri | Propaganda |
| Hacking | Gelir + stratejik güç |
Kuzey Kore UX’e yatırım yapmaz; ama siber operasyonlara stratejik yatırım yapar. Aynı ülkede kötü frontend ve dünya seviyesinde exploit yazan ekibin bir arada bulunması gayet mümkün.
Kelp DAO Bağlantısı Ne Kadar Güçlü?
Şu aşamada çoğu olayda olduğu gibi: net, herkesi ikna eden bir kanıt henüz yok. Ancak yöntem benzerliği, hedef tipi (DeFi protokolü) ve operasyon şekli Lazarus tarzı ile uyumlu. Bu yüzden ortada şu ifade dolaşıyor: “attributed to Lazarus” deniyor, “proven” değil.
Zincir analizi şirketleri (Chainalysis, Elliptic gibi) çalınan fonların hareket pattern’lerini Lazarus’un geçmiş operasyonlarıyla eşleştirmeye çalışıyor. Bu süreç henüz tamamlanmadı.
Sonuç
Birkaç çıkarım net:
- Lazarus gerçek bir yapı (en azından operasyonel olarak)
- Büyük ihtimalle Kuzey Kore ile bağlantılı
- Ana misyon: finansal kazanç + stratejik avantaj
Ve en kritik çıkarım: DeFi dünyası hâlâ devlet seviyesindeki saldırganlara (state-level attackers) karşı savunmasız.
Kapanış: Yeni Tehdit Modeli
Kelp DAO hack’i özelinde en önemli ders şu: saldırılar artık bireysel değil, kurumsal seviyede. Karşı taraf sabırlı, iyi organize ve finansal motivasyonu yüksek.
Bu da şu anlama geliyor: “smart contract secure” olmak artık yetmez. İnsan + operasyon + süreç güvenliği şart. Bir DeFi protokolü ne kadar matematiksel açıdan kusursuz olursa olsun, geliştiricilerinden birinin LinkedIn üzerinden gelen bir “coding challenge”a kanması, milyonlarca dolarlık zarara yol açabilir.
Önümüzdeki dönemde DeFi protokollerinin sadece kod denetimi (audit) değil, tam kapsamlı operasyonel güvenlik (OPSEC) çerçevesinde değerlendirilmesi gerekecek. Aksi halde Lazarus benzeri yapıların hedef listesinde olmaya devam edeceğiz.
Bir yanıt yazın