Kuzey Kore Bağlantılı Hırsızlıklar Web3 Kayıplarını 3.95 Milyar Dolara Çıkardı

Erişim Kontrolü Hataları, 2025 Yılında 2.12 Milyar Dolarlık Kripto Hırsızlığını Tetikledi

Hacken'ın 2025 Yıllık Güvenlik Raporu'na göre, Web3 ekosistemindeki toplam kayıplar 2025 yılında yaklaşık 3.95 milyar dolara ulaştı, bu da 2024'e göre önemli bir 1.1 milyar dolarlık artışa işaret ediyor. Bulgular, saldırı vektörlerinde kritik bir değişimi ortaya koyuyor; sistemik operasyonel riskler artık izole edilmiş kod hatalarından daha büyük bir tehdit oluşturuyor. Kayıplar yılın ilk çeyreğinde 2 milyar doların üzerine çıkarak zirveye ulaşsa da, dördüncü çeyreğe kadar yaklaşık 350 milyon dolara düşse de, finansal zararın birincil kaynağı tutarlı kaldı.

Ele geçirilmiş özel anahtarlar, özensiz çalışan işten çıkarma prosedürleri ve zayıf imza protokolleri gibi erişim kontrolü hataları, tüm kayıpların yaklaşık %54'ünü, yani 2.12 milyar doları oluşturdu. Buna karşılık, akıllı sözleşmelerdeki güvenlik açıkları yaklaşık 512 milyon dolarlık kayıplara yol açtı. Bu veriler, endüstrinin en büyük güvenlik sorununun kodun kendisinde değil, dijital varlıklara erişimi yöneten insan ve operasyonel süreçlerde yattığını gösteriyor.

Kuzey Kore Bağlantılı Gruplar Çalınan Fonların %52'sinden Sorumlu

Yılın kayıplarının önemli bir kısmı devlet destekli tehdit aktörleri tarafından tetiklendi. Kuzey Kore bağlantılı hacker kümeleri, çalınan tüm fonların yaklaşık %52'sinden sorumluydu. Bu rakam, yaklaşık 1.5 milyar dolarlık kayba neden olan ve kayıtlardaki en büyük tek kripto hırsızlığı olan Bybit ihlali tarafından büyük ölçüde etkilendi. Tek bir aktörden bu kadar büyük kayıpların yoğunlaşması, büyük borsaları ve protokolleri tehdit eden hedefli ve sürekli bir tehdidi vurguluyor.

Hacken'ın adli analizi, saldırganların yetkisiz erişim elde etmek için giderek daha sofistike oltalama kampanyalarına ve sosyal mühendisliğe odaklandığını vurguluyor. Hacken Extractor'ın adli tıp başkanı Yehor Rudystia, yetkililerin Kuzey Kore'nin taktiklerini belirli bir denetim endişesi olarak ele alması, gerçek zamanlı tehdit istihbarat paylaşımını ve bu saldırı yöntemlerine odaklanan risk değerlendirmelerini zorunlu kılması gerektiğini belirtti.

Uzmanlar 2026 İçin Sert Güvenlik Gereklilikleri Çağrısı Yapıyor

Güvenlik uzmanları, endüstrinin sağlam güvenlik uygulamalarını giderek daha fazla özetleyen düzenleyici rehberliğin gerisinde kaldığını savunuyor. Rudystia, 2025 boyunca geliştirici erişimini işten çıkarma sırasında iptal etmemek ve tek bir özel anahtarla protokolleri yönetmek gibi güvensiz uygulamaların devam ettiğini belirtti. Büyük borsalar için düzenli sızma testleri, olay simülasyonları ve bağımsız denetimlerin 2026'da vazgeçilmez olması gerektiğini vurguladı.

Hacken CEO'su Yevheniia Broshevan, denetçilerin yumuşak rehberlikten uyumsuzluk durumunda cezaların olduğu sert gerekliliklere geçiş yapmasıyla güvenlik standartlarının iyileşmesini beklediklerini belirtti.

Sektörün güvenlik tabanını yükseltmek için önemli bir fırsat görüyoruz, özellikle de özel imzalama donanımı kullanmak ve temel izleme araçlarını uygulamak için net protokoller benimsemek konusunda.

— Yevheniia Broshevan, Hacken Kurucu Ortağı ve CEO'su.