Oturum Aç
Kayıt Ol
🔥BTC/USDT

İnsani çoklu imza: Kuzey Kore kripto sızmalarını yenmek

2026-04-24

Güvenlik oyun kitabı değişti.

Brute-force saldırıları hâlâ var, ancak artık daha keskin tehdit endüstrileşmiş uyuyan ajan modeli gibi görünüyor:

Kötü niyetli aktörler ekiplerin, iş akışlarının ve erişim sistemlerinin içine sızarak en uygun anda saldırmak için bekliyor.

Bu durum işe alımı sadece bir yetenek arayışından çok daha fazlası haline getiriyor. Her yeni teknik işe alım, bilanço üzerinde gerçek bir risk taşıyan bir güven kararı haline geliyor. Bir geliştiricinin ele geçirilmesi, kötü incelenmiş bir yüklenici veya içeriden bir tehdit, işe alım belgelerini milyonlarca dolarlık kilitli toplam değerin (TVL) kaybına dönüştürebilir.

Akıllı sözleşme denetimleri için servetler harcanıyor, ancak günümüzün en yıkıcı güvenlik ihlali insan arka kapısıdır — hiçbir yazılım denetiminin tespit edemeyeceği veya engelleyemeyeceği doğrudan bir yoldur.

 

Her zayıflığı istismar etmek

Bir kripto borsası veya merkeziyetsiz finans (DeFi) protokolü için, her yeni işe alım aslında yüksek kaldıraçlı bir işlem gibidir. Teminat, kullanıcıların varlıkları ve marka itibarlarıdır.

Kötü şöhretli Lazarus Grubu gibi Kuzey Kore destekli gruplar, uyuyan ajan stratejisini endüstrileştirdi. Taktiklerini, kripto endüstrisinin kalbini hedef alan karmaşık sahte işe alım tuzaklarına kaydırdılar.

Kripto dünyasının uzaktan çalışma kültürü bu stratejiyi daha da etkili hale getiriyor, çünkü tek güvenlik duvarı insan kaynakları (İK) departmanıdır. Bu nedenle, İK departmanları bu operatörlerin teknik savunmaları nasıl aştığını hızla öğrenmek zorundadır.

Varlıkları, markayı ve vizyonu korumak için sıfır güven işe alım süreci oluşturmak zorundalar.

 

Protokollerden insanlara

Chainalysis’e göre, Kuzey Koreli tehdit aktörleri 2025 yılında rekor kıran 2,02 milyar dolar değerinde kripto para çaldı. Bu, yıllık bazda %51 artış anlamına geliyor ve bunun önemli bir kısmı içeriden erişime bağlanıyor.

Yeni strateji Yukarı Akış Sızması olarak adlandırılıyor.

Bir şirkete girmeye çalışmak yerine, sadece iş başvurusunda bulunuyorlar. İçeri girdikten sonra, yetenekli bir operatör kolayca iç ağı haritalayabilir ve tüm sıcak cüzdanları tespit edebilir. Sonuç sadece fon kaybı değil, aynı zamanda protokol mantığının tamamen bozulmasıdır.

Bu değişim, borsaların ve protokollerin güvenliğini yeniden tanımlayan yıkıcı sosyal mühendislik saldırıları ve altyapı manipülasyonlarıyla en iyi şekilde örnekleniyor.

Şubat 2025’te Lazarus Grubu, Bybit’in kullandığı altyapının geliştirme ortamını ele geçirdi. Cüzdan arayüzüne kötü amaçlı kod enjekte ederek operatörleri “rutin transferler” gibi görünen işlemleri kör imzalamaya kandırdı.

Bu olay 1,5 milyar dolarlık rekor bir kayba yol açtı ve kritik bir zafiyeti ortaya koydu: Bir borsanın güvenliği, dağıtım sürecini yöneten kişilerin bütünlüğü kadar güçlüdür.

Nisan 2026’da, Kelp adlı merkeziyetsiz otonom organizasyon (DAO), Lazarus’un TraderTraitor alt grubuyla bağlantılı 292 milyon dolarlık bir saldırıya uğradı. Soruşturmalar, saldırganların projeye katkıda bulunanlar olarak sızdığını ortaya çıkardı.

Protokolün doğrulama sürecini zehirlediler ve kötü amaçlı altyapıya yönlendirdiler.

Bu, merkeziyetsiz olmanın çekirdek katkıcılar ele geçirilirse hacklenemez anlamına gelmediğini sert bir şekilde hatırlatıyor. Bir protokolün yalnızca kodlayıcısının bütünlüğü kadar değişmez olabileceğini gösteren caydırıcı bir derstir.

 

Tuzak anatomisi

Sızma, ilk Zoom görüşmesinden çok önce başlar.

  • Saldırganlar, en şüpheci işe alımcıları bile tatmin edecek çalışma kanıtı sunmak için tam dijital geçmişler üretirler.

  • Operatörler genellikle sahte girişim sermayesi (VC) veya işe alım firmaları kullanarak bir yıllık bir iz oluştururlar. Bunlar teknik bloglar, LinkedIn referansları ve GitHub katkılarını içerebilir.

Sadece özgeçmiş göndermekle yetinmezler. Bunun yerine, üst düzey bir kripto uzmanı gibi görünen yapay zekâ destekli, özenle hazırlanmış bir dijital yaşam sunarlar.

Bazı durumlarda, operatör saygın bir borsa veya VC firmasından işe alımcı gibi davranır. Projedeki mevcut geliştiricilere teknik değerlendirme gerektiren iş teklifleriyle yaklaşır. Gerçekte bu, kötü amaçlı yazılım dağıtmak için kullanılan bir hiledir.

Veltrix Capital vakasında da bu yaşandı; bu gerçek bir işe alım şirketi değildi. Kripto geliştiricilerini sahte bir başvuru süreciyle kandırarak sosyal mühendislik projesini başlatmak için tasarlanmıştı.

 

Truva atı olarak kodlama testleri

Teknik değerlendirme aşaması, bir kripto projesinin cüzdan güvenliğine giriş noktasıdır. Standart işe alım sürecinde, adayın bir deposunu baş geliştiriciye inceleme için göndermesi yaygındır.

  • Bağımlılık zehirlemesi: ReversingLabs araştırmacıları, bu ev ödevi testlerinde özel olarak kullanılan graphalgo (PyPI’de) ve bigmathutils (npm’de) gibi kötü amaçlı paketleri tespit etti.

  • Yük: İşe alım yöneticisi veya baş geliştirici, adayın çalışmasını kontrol etmek için npm install komutunu çalıştırdığında, bir post-install betiği devreye girer.

  • Sonuç: Genellikle BeaverTail bilgi hırsızı varyantı olan bir Uzak Erişim Truva Atı (RAT) yüklenir. Hemen MetaMask tarayıcı uzantısını kontrol eder ve oturum çerezlerini dışa aktarır.

Kötü amaçlı yazılım teslimatı tamamlanır. Bu, saldırgana iç Slack, GitHub ve üretim ortamlarına erişim sağlar.

Görüşmeler sırasında tehlike işaretlerini belirleme

Kuzey Koreli operatörleri tespit etmek, teknik becerilerin ötesine bakmayı ve örneğin Zoom görüşmeleri sırasında tutarsızlıklara odaklanmayı gerektirir.

  1. Derin teknik tartışmalar sırasında kameraya çıkmayı engelleyen sürekli teknik aksaklıklara veya düşük bant genişliği bahanelerine dikkat edin.

  2. Gerçek zamanlı yapay zekâ ses klonlamasına veya garip yanıt gecikmelerine karşı dikkatli olun. Bu kimlik-ses uyumsuzluğu, birinin konuşmayı yürütürken diğerinin arka planda teknik yanıtlar verdiği durumlarda ortaya çıkar.

  3. Bir Kıdemli Rust adayının DeFi temelleriyle ilgili doğaçlama beyaz tahta oturumlarında zorlandığı beceri-olgunluk uyumsuzluğu barizdir. Eğer sadece ekibiyle danıştığında performans gösterebiliyorsa, muhtemelen iddia ettiği kişi değildir.

  4. Son olarak, adayın hareketleriyle uyumlu olmayan sabit veya bulanık ev-ofis filtrelerine dikkat edin. Bu tür görsel tutarsızlıklar genellikle operatörün kimliğini korumak için kullanılan gerçek zamanlı deepfake yazılımlarının sonucudur.

 

İnsan hatası (human bug)

Kuruluşlar, hazinelerini insan hatasından korumak için sıfır güven işe alım çerçevesi uygulamalıdır. Böyle bir çerçeve, herhangi bir iç izin verilmeden önce titiz, çok katmanlı bir doğrulama içermelidir.

Sıfır güven işe alım çerçevesi, inanca dayalı işe alımı ortadan kaldırır ve hiçbir kimlik bilgisinin kanıtlanmadan geçerli olmadığı güvenlik odaklı bir doğrulama döngüsüyle değiştirir. Projeler, kimlikleri sabitleyerek ve becerileri gerçek zamanlı doğrulayarak gelişmiş sentetik başvuru tehditlerini etkisiz hale getirir.

Web3’te her işe alım, protokolün emanetine yapılan bir yatırımdır ve bu nedenle bir kuruluşun çoklu imza (multi-sig) sistemine yeni bir imzacı ekler. Hacker stratejilerinin karmaşıklığı arttıkça, uzaktan çalışan İK departmanları güvenlik ihlalleri konusunda eğitilmeli ve potansiyel işe alımlara herhangi bir sözleşme göndermeden önce titiz doğrulama uygulamalıdır.

Sıfır güven işe alımı nasıl uygulanır

Sosyal Operasyonel Güvenlik (Social OpSec), bir ekibin dijital ayak izini temizlemek için tasarlanmış savunma odaklı bir çerçevedir. Devlet destekli aktörlerin, dağınık kamu verilerini kullanarak karmaşık bir organizasyonel ihlal oluşturmasını engeller.

Bir protokolün işe alım süreci, paydaş varlıklarını korumak için akıllı sözleşmeleri kadar güvenli olmalıdır. Bunu sağlamak için aşağıdaki adımların hemen uygulanması önerilir:

  • Kimlik öncelikli doğrulama: Adayın kimliğini devlet tarafından verilmiş kimlikle karşılaştırmak için canlı kimlik doğrulama hizmeti (örneğin Jumio veya Clear) kullanın. Bu, ilk video görüşmesi sırasında gerçek zamanlı yapılmalıdır.

  • Yalıtılmış teknik değerlendirmeler: Adayın kodunu asla yerel makinede çalıştırmayın. Kodu incelemek ve çalıştırmak için Gitpod veya Replit gibi izole, geçici bulut ortamlarını kullanın. Bu, riskli mint işlemleri için yakma cüzdanı kullanmanın işe alım eşdeğeridir.

  • Canlı, kamerada kodlama: Ev ödevi testlerini canlı, etkileşimli beyaz tahta veya kodlama oturumlarıyla değiştirin. Bu, adayların işi arka plandaki bir destek ekibine yaptırmasını engeller.

  • Bağımlılıklarınızı denetleyin: Harici bir depoyu incelemeden önce, yapılandırma dosyalarını (örneğin package.json) bilinmeyen veya az indirilen paketler için tarayın. Bunlar, meşru araçların yazım hatasıyla oluşturulmuş sürümleri olabilir.

 

Güvenlik duvarının ötesinde

2026’da güvenlik artık sadece Baş Teknoloji Sorumlusu’nun (CTO) sorumluluğu değildir; İK departmanıyla başlar.

Kelp DAO ve Bybit vakaları, en sağlam teknik yapıların bile tek bir güvenilir insanın ele geçirilmesiyle çözülebileceğini gösteriyor. Sıfır güven işe alım modeli, yeni işe alınanların vizyonu inşa etmek için, yıkmak için değil orada olduklarından emin olmaya yardımcı olur.

Her işe alımı milyon dolarlık işlemler kadar titizlikle değerlendirmek, uzun vadeli protokol hayatta kalışını güvence altına almanın tek yoludur.

 

Toobit’te kripto nasıl alınır

Toobit’te kripto satın almak için bir hesap oluşturun, doğrulamayı tamamlayın ve “Kripto Satın Al” bölümüne gidin. Bir token seçin, ödeme yöntemini belirleyin ve satın alımı onaylayın. İşlem tamamlandığında varlıklarınız Spot Hesabınızda görünecektir.

Tebrikler, artık Toobit’te kripto satın almayı biliyorsunuz!

 

 

İlgili Makaleler

Tüm

    Kuantum bilgisayarlar neden kripto cüzdanlarını ve blok zinciri güvenliğini tehdit ediyor

    2026-04-22

    Toobit'in ISO 27001 sertifikası, ticaret güvenliğiniz için ne anlama geliyor

    2026-01-06

    2026 yılında kripto hesabınızı yetkisiz çekimlerden nasıl korursunuz?

    2025-11-19

    Toobit'in risk kontrol sistemi varlıklarınızı nasıl güvende tutar?

    2025-11-17

    Toobit Shield Fonu nedir ve neden önemlidir?

    2025-11-05
Kaydolun ve 15.000 USDT'den fazla kazanın
Hemen kaydolun