Safe{Wallet}, 1,5 Milyar Dolarlık Bybit Soygununun Kuzey Koreli TraderTraitor Hacker Grubuyla Bağlantılı Olduğunu Bildirdi

07.03.2025

Safe{Wallet}, 1,5 milyar dolarlık Bybit kripto soygununun, TraderTraitor olarak bilinen Kuzey Koreli hacker grubu tarafından gerçekleştirilen "son derece sofistike, devlet destekli bir saldırı" sonucu meydana geldiğini doğruladı. Jade Sleet, PUKCHONG ve UNC4899 adlarıyla da bilinen saldırganlar, adli soruşturmayı engellemek amacıyla izlerini dikkatlice sildi. Bunun üzerine Safe{Wallet}, kapsamlı bir güvenlik analizi için Google Cloud Mandiant ile iş birliği yaptı.

İhlal, 4 Şubat 2025'te bir Safe{Wallet} geliştiricisinin macOS dizüstü bilgisayarının ele geçirilmesiyle başladı. Geliştirici, sosyal mühendislik saldırısı yoluyla kötü amaçlı bir Docker projesi indirdi. Yalnızca birkaç gün önce kaydedilmiş bir alan adına bağlı olan bu proje, kötü amaçlı yazılım aracılığıyla AWS oturum belirteçlerini ele geçirdi, çok faktörlü kimlik doğrulamayı (MFA) atlattı ve kalıcı uzaktan erişim sağladı. Saldırganlar daha sonra zararlı yazılımlarını sildi ve Bash geçmişini temizleyerek izlerini gizledi.

Daha detaylı analizler, saldırganların ExpressVPN ve Kali Linux tabanlı araçlar kullanarak şirketin AWS ortamına sızdığını ve geliştiricinin çalışma programına uyum sağlayarak tespit edilmekten kaçındığını ortaya çıkardı. Ayrıca, açık kaynaklı Mythic framework'ü kullandıkları ve 19-21 Şubat 2025 tarihleri arasında Safe{Wallet} web sitesine zararlı JavaScript kodları enjekte ettikleri belirlendi. Farklı saldırı yöntemlerini bir arada kullanarak etkilerini maksimize etmeye çalıştılar.

Bybit CEO’su Ben Zhou, çalınan fonların ’sinin hâlâ izlenebilir olduğunu, ’sinin kaybolduğunu ve %3’ünün dondurulduğunu belirtti. Çeşitli sektör oyuncularının desteğiyle dondurulan varlıklar sayesinde saldırganlar engellenmeye çalışılıyor. Şu ana kadar çalınan fonların ’ü (417.348 ETH) bitcoine çevrildi ve yaklaşık 7.000 farklı cüzdana dağıtıldı.

Bu olay, Web3 ekosisteminde siber tehditlerin giderek daha sofistike hale geldiğini gözler önüne seriyor. Blockchain güvenlik platformu Immunefi'ye göre, 2025 yılının ilk iki ayında kripto soygunları 1,6 milyar dolara ulaşarak bir önceki yılın aynı dönemindeki 200 milyon dolarlık kaybın sekiz katına çıktı. Safe{Wallet}, işlemlerin güvenliğini sağlamanın Web3’ün en büyük zorluklarından biri olduğunu ve bu sorunun yalnızca bireysel kullanıcıları değil, tüm sektörün ortak çabasını gerektiren kritik bir mesele olduğunu vurguladı.