Balancer saldırısı aylarca süren planlamanın ürünü

Zincir üstü analizlere göre, 116 milyon dolarlık Balancer siber saldırısının arkasındaki saldırganın zincir üstü işlemleri, iz bırakmadan aylarca hazırlanmış olabilecek sofistike bir aktöre ve kapsamlı bir hazırlığa işaret ediyor.

Merkezsiz borsa (DEX) ve otomatik piyasa yapıcı (AMM) Balancer, pazartesi günü siber saldırıya uğradı ve 116 milyon dolar değerinde dijital varlık ele geçirildi.

Blockchain verileri, saldırganın tespit edilmekten kaçınmak için hesabını kripto para karıştırıcısı Tornado Cash’ten yapılan küçük 0,1 Ether (ETH) yatırımlarıyla dikkatlice finanse ettiğini gösteriyor. Coinbase direktörü Conor Grogan, saldırganın Tornado Cash akıllı sözleşmelerinde en az 100 ETH tuttuğunu ve bunun önceki saldırılarla olası bağlantılara işaret ettiğini söyledi.

“Hacker deneyimli görünüyor: Hesabı 100 ETH ve 0,1 Tornado Cash yatırımlarıyla tohumladı. Hiç opsec sızıntısı yok,” diye yazdı Grogan bir pazartesi X gönderisinde. “Yakın zamanda 100 ETH’lik Tornado yatırımı olmadığı için, saldırganın önceki istismarlardan orada fon bulundurduğu muhtemel.”

Grogan, kullanıcıların genellikle gizlilik karıştırıcılarında bu kadar büyük meblağları saklamadığını belirterek, saldırganın profesyonelliğine daha fazla işaret etti.

Balancer, çarşamba gününe kadar çalınan fonların tamamının, ödül düşülmüş şekilde, iade edilmesi halinde saldırgana yüzde 20 ödül teklif etti.

Balancer, pazartesi günkü son X güncellemesinde, “Ekibimiz sorunu anlamak için önde gelen güvenlik araştırmacılarıyla birlikte çalışıyor ve mümkün olan en kısa sürede ek bulguları paylaşacağız,” diye yazdı.

Balancer, istismarı 2025’in en sofistike saldırısıydı

Blockchain güvenlik firması Cyvers’ın kurucu ortağı ve CEO’su Deddy Lavid’e göre, Balancer istismarı “bu yıl gördüğümüz en sofistike saldırılardan biri” oldu:

“Saldırganlar, varlık bakiyelerini doğrudan manipüle etmek için erişim kontrol katmanlarını atlattı. Bu durum, çekirdek protokol mantığından ziyade operasyonel yönetişimde kritik bir başarısızlıktı.”

Lavid, saldırının statik kod denetimlerinin artık yeterli olmadığını gösterdiğini söyledi. Bunun yerine, fonlar boşaltılmadan önce şüpheli akışları işaretlemek için sürekli, gerçek zamanlı izleme çağrısında bulundu.

Lazarus Group suskundu

Ünlü Kuzey Koreli Lazarus Group da en büyük siber saldırılarından önce kapsamlı hazırlıklarıyla biliniyor.

Blockchain analiz firması Chainalysis’e göre, Kuzey Koreli siber aktörlerle bağlantılı yasadışı faaliyetler, yılın başındaki saldırı artışına rağmen, 1 Temmuz 2024’ten sonra keskin bir şekilde düştü.

Bybit sadırısı öncesindeki belirgin yavaşlama, devlet destekli hack grubunun “yeni hedefler seçmek için yeniden gruplaştığını” gösteriyordu. Bu değerlendirme, Chainalysis siber suç araştırma lideri Eric Jardine tarafından yapıldı.

Kendisi Cointelegraph’a, “Gözlemlediğimiz yavaşlama, yeni hedefler seçmek, altyapıyı yoklamak için bir yeniden gruplaşma olabileceği gibi, bu durum jeopolitik olaylarla da bağlantılı olabilir,” açıklamasında bulundu.

Lazarus Group’un çalınan Bybit fonlarının yüzde 100’ünü merkezsiz zincirler arası protokol THORChain üzerinden aklaması 10 gün sürdü.