## Lazarus Group Nedir ve Neden Bu Kadar Tehlikeli?
Lazarus Group, Kuzey Kore (DPRK) devleti tarafından desteklenen ve dünya genelinde faaliyet gösteren bir siber suç örgütüdür. Sıradan bir hacker grubuyla karıştırılmamalıdır; Lazarus Group, devlet finansmanıyla desteklenen, son derece sofistike bir operasyon yürüten ve elde ettiği gelirleri doğrudan Kuzey Kore'nin nükleer silah programına aktaran bir tehdit aktörüdür.
ABD Hazinesi'ne bağlı OFAC (Yabancı Varlıklar Kontrol Ofisi) Lazarus Group'u 2019 yılında yaptırım listesine almıştır. FBI ve siber güvenlik araştırmacıları ise grubun son on yılda kripto ekosisteminden **3 milyar doların üzerinde** varlık çaldığını tahmin etmektedir.
Grubun bu denli tehlikeli olmasının birkaç temel nedeni vardır:
- **Devlet desteği:** Sıradan suç örgütlerinin erişemeyeceği kaynak ve istihbarat kapasitesine sahipler.
- **Uzun vadeli planlama:** Saldırılar aylar öncesinden hazırlanıyor; sosyal mühendislik ve tedarik zinciri saldırıları titizlikle planlanıyor.
- **Sürekli adaptasyon:** Blok zinciri analitik şirketleri yeni izleme yöntemleri geliştirdikçe, Lazarus da kara para aklama tekniklerini güncelliyor.
- **Ceza korkusu yok:** Kuzey Kore uluslararası hukuk düzeninin dışında faaliyet gösterdiğinden, grubun üyeleri pratikte dokunulmaz.
---
## Lazarus Group'un En Büyük Soygunları Nelerdir?
Son yıllarda gerçekleştirilen saldırıların boyutu, kripto tarihinin en büyük finansal suçları arasında yer almaktadır.
### Ronin Bridge Soygunu (Mart 2022) — 625 Milyon Dolar
Popüler Axie Infinity oyununun altyapısını oluşturan Ronin Network, Lazarus Group'un en büyük vurgununun hedefi oldu. Saldırganlar, köprünün doğrulayıcı düğümlerinin beş tanesinin özel anahtarlarını ele geçirerek sistemi tamamen devre dışı bıraktı. Soygun yaklaşık bir hafta boyunca fark edilmedi.
FBI, Nisan 2022'de saldırıyı resmi olarak Lazarus Group'a atfetti. OFAC ise soygunla ilişkilendirilen cüzdan adreslerini yaptırım listesine ekledi. Çalınan fonların bir kısmı Tornado Cash üzerinden aklatılmaya çalışıldı.
### Harmony Horizon Bridge Soygunu (Haziran 2022) — 100 Milyon Dolar
Harmony protokolünün çapraz zincir köprüsü, yine çoklu imza (multisig) güvenlik açığı üzerinden hedef alındı. Saldırganlar, yalnızca iki güvenilir imzaya ihtiyaç duyan bir sistemde bu imzaları ele geçirerek fonu boşalttı. FBI, Ocak 2023'te saldırıyı Lazarus Group'a bağladı.
### Atomic Wallet Soygunu (Haziran 2023) — 100 Milyon Dolar
Atomic Wallet kullanıcıları, merkezi olmayan bir cüzdan uygulamasını kullanmalarına rağmen hesaplarının tamamen boşaltıldığını fark etti. Saldırı, uygulamanın tedarik zincirini hedef alan sofistike bir yöntemle gerçekleştirildi. On zincir analiz firması Elliptic ve Chainalysis, fonların hareketini Lazarus Group'a ait bilinen aklama örüntüleriyle eşleştirdi.
### Bybit Soygunu (Şubat 2025) — 1,5 Milyar Dolar
Kripto tarihinin en büyük borsadan çalıntısı, Şubat 2025'te Bybit'in Ethereum soğuk cüzdanını hedef alan bir saldırıyla gerçekleşti. Saldırganlar, Bybit'in kullandığı Safe (eski adıyla Gnosis Safe) çoklu imza altyapısını manipüle ederek işlem imzalama sürecini zehirledi. Kullanıcılar meşru bir işlem onayladıklarını sanarken aslında fonları saldırganlara devrediyordu.
Bybit CEO'su Ben Zhou, saldırının hemen ardından açıklama yaparak operasyonların sürdüğünü ve kullanıcı fonlarının güvende olduğunu duyurdu. Blockchain analitik firması Chainalysis ve bağımsız araştırmacı ZachXBT, saldırıyı birkaç saat içinde Lazarus Group'a atfetti.
| Saldırı | Tarih | Çalınan Miktar | Yöntem |
|---|---|---|---|
| Ronin Bridge | Mart 2022 | 625 milyon dolar | Doğrulayıcı özel anahtar ele geçirme |
| Harmony Bridge | Haziran 2022 | 100 milyon dolar | Multisig açığı |
| Atomic Wallet | Haziran 2023 | 100 milyon dolar | Tedarik zinciri saldırısı |
| Bybit | Şubat 2025 | 1,5 milyar dolar | İşlem imzalama manipülasyonu |
| **Toplam** | | **~2,3 milyar dolar** | |
---
## Çalınan Fonlar Nasıl Aklatılıyor?
Lazarus Group, çaldığı fonları doğrudan kullanamaz. Her büyük borsanın KYC (Müşterini Tanı) ve AML (Kara Para Aklamayı Önleme) prosedürleri devreye girdiğinden, saldırganların bu fonları "temizlemesi" gerekiyor. Bu süreç son derece karmaşık ve çok aşamalı bir yapıya sahip.
### 1. Aşama: Anlık Varlık Dönüşümü
Saldırı gerçekleşir gerçekleşmez, Lazarus operatifleri çalınan varlıkları hızla dönüştürmeye başlar. ERC-20 token'ları ve diğer altcoin'ler, DEX'ler (merkeziyetsiz borsalar) üzerinden ETH veya BTC'ye çevrilir. Bu işlem, varlıkların izlenmesini zorlaştırmak için birden fazla adım üzerinden gerçekleştirilir.
### 2. Aşama: Tornado Cash ve Karıştırıcı Protokoller
Fonlar ETH'e dönüştürüldükten sonra Tornado Cash gibi karıştırıcı protokollere gönderilir. Tornado Cash, farklı kullanıcıların depozitolarını havuzlayarak çekimlerin kaynağını gizleyen bir gizlilik protokolüdür. OFAC, Ağustos 2022'de Tornado Cash'i yaptırım listesine aldı — bu, bir akıllı sözleşmenin yaptırıma tabi tutulduğu tarihi ilk örneklerden biriydi.
Ancak Lazarus Group, Tornado Cash'in yasaklanmasından sonra da alternatif karıştırıcılara yöneldi. Sinbad.io ve diğer benzer protokoller bu süreçte devreye girdi.
### 3. Aşama: Zincir Atlaması (Chain-Hopping)
Modern blockchain analitik araçları tek bir zinciri nispeten iyi takip edebiliyor. Bu nedenle Lazarus, fonları birden fazla blok zinciri arasında sürekli transfer ederek izlenmeyi zorlaştırıyor. ETH'den BTC'ye, oradan Monero'ya (XMR) geçiş sık kullanılan bir yöntem. Monero, gizlilik odaklı yapısı nedeniyle on-chain izlemeyi neredeyse imkânsız hale getiriyor.
### 4. Aşama: OTC Masaları ve Sahte KYC
Son aşamada fonlar, düzenleyici denetimden kaçan OTC (tezgah üstü) masaları üzerinden itibari paraya çevriliyor. Bu masaların bir kısmı bilerek kara para aklatma hizmeti sunuyor; bir kısmı ise yetersiz AML kontrolleri nedeniyle farkında olmadan bu sürecin parçası oluyor. ABD Adalet Bakanlığı, 2023 yılında DPRK fonlarını aklatmaya yardım eden birden fazla OTC operatörünü suçlamıştır.
---
## OFAC Yaptırımları Lazarus'u Durdurabiliyor mu?
OFAC'ın Lazarus Group'a yönelik yaptırımları önemli bir caydırıcı etki yaratsa da tek başına yeterli değil. Yaptırıma tabi cüzdan adresleri, tüm büyük borsaların tarama listelerine ekleniyor ve bu adreslere yapılan işlemler otomatik olarak engelleniyor.
Ancak Lazarus'un bu engeli aşma yöntemleri de gelişmiş durumda:
- **Cüzdan rotasyonu:** Her büyük soygundan sonra yüzlerce yeni adres oluşturuyorlar.
- **Katmanlı yapı:** Kirli fonlar, yaptırım listesindeki adreslerden birkaç transfer uzaklıkta olan "temiz" görünümlü cüzdanlara ulaşmadan önce onlarca ara cüzdandan geçiyor.
- **Akıllı sözleşme etkileşimleri:** DeFi protokolleriyle doğrudan etkileşim, geleneksel tarama yöntemlerini bypass ediyor.
Bununla birlikte OFAC yaptırımlarının pratik etkisi göz ardı edilemez. Yaptırıma tabi adreslerle işlem yapan borsalar ciddi para cezasıyla karşılaşıyor. Nitekim ABD Hazinesi, 2023 yılında Binance'e kısmen yaptırıma tabi kişilerle işlem yapması nedeniyle 4,3 milyar dolarlık ceza kesmişti.
---
## Blockchain Analitik DPRK Fonlarını Nasıl Takip Ediyor?
Lazarus Group'un en büyük dezavantajı şu: Blok zinciri temelde halka açık ve değiştirilemez bir kayıt defteridir. Ne kadar karmaşık aklama teknikleri kullansalar da fonların bir noktada itibari paraya çevrilmesi gerekiyor — ve bu noktada iz kaçınılmaz olarak belirginleşiyor.
Chainalysis, Elliptic ve TRM Labs gibi blockchain analitik firmaları şu yöntemleri kullanıyor:
**Kümeleme Analizi:** Belirli davranış kalıplarını gösteren cüzdanlar (aynı işlemlerde birlikte kullanılma, zamanlama örüntüleri vb.) kümelenip tek bir aktöre atfediliyor.
**Heuristik Yöntemler:** Bilinen Lazarus adresleriyle etkileşime giren, benzer miktarları benzer zaman aralıklarında hareket ettiren cüzdanlar şüpheli olarak işaretleniyor.
**Zincirler Arası İzleme:** Köprü protokolleri üzerinden gerçekleştirilen transferler, kaynak ve hedef zincirler eşleştirilerek takip ediliyor.
**OTC Tespiti:** Büyük miktarları parçalara bölerek transfer etme davranışı ("smurfing") ve bilinen OTC adreslerine akan fonlar tespit ediliyor.
Bybit soygununda ZachXBT, saldırının gerçekleşmesinden yalnızca birkaç saat sonra Lazarus Group'a ait olduğunu gösteren detaylı on-chain kanıtları kamuoyuyla paylaştı. Bu analiz, sonradan FBI ve birden fazla hükümet kurumu tarafından doğrulandı.
---
## Travel Rule DPRK Fon Akışlarını Durdurmada Nasıl Bir Rol Oynuyor?
Travel Rule, FATF (Mali Eylem Görev Gücü) tarafından kripto ekosisteminde zorunlu kılınan bir düzenleyici gerekliliktir. Buna göre VASP'lar (Sanal Varlık Hizmet Sağlayıcıları), belirli bir eşiğin üzerindeki transferlerde gönderen ve alıcıya ait kimlik bilgilerini karşı tarafa iletmek zorundadır.
Travel Rule, Lazarus'un aklama sürecine karşı birden fazla katmanda etki gösteriyor:
**Kimlik Tespiti:** Düzenlenmiş bir borsada işlem yapmak için KYC gerekiyor. Lazarus sahte kimlikler kullansa da bu kimlikler zaman içinde örüntü analizi yoluyla tespit edilebiliyor.
**Varlık Dondurma:** Travel Rule verilerini gerçek zamanlı olarak işleyen borsalar, şüpheli işlemleri anında durdurabilir. Bybit soygununda birden fazla büyük borsa, şüpheli adreslere ait fonları saatler içinde dondurdu.
**İzlenebilirlik Zinciri:** Travel Rule kayıtları, soruşturmacılara fon hareketlerini kurumlar arasında takip edebilecekleri bir belge zinciri sunuyor.
Ancak Travel Rule'un etkinliği, uyumun evrenselliğine bağlı. Lazarus, Travel Rule uygulayan yargı bölgelerini bilinçli olarak bypass ederek uyumun zayıf olduğu veya hiç olmadığı platformlara yöneliyor. Bu nedenle Travel Rule'un global ölçekte tutarlı biçimde uygulanması kritik önem taşıyor.
---
## Kripto Borsaları ve VASP'lar Kendilerini Nasıl Koruyabilir?
Lazarus Group tehdidi karşısında uyum ekiplerinin alması gereken önlemler birden fazla katmanı kapsıyor.
### Gerçek Zamanlı Yaptırım Taraması
OFAC SDN listesi ve diğer küresel yaptırım listeleri statik belgeler değil; sürekli güncellenen dinamik verilerdir. Lazarus'a atfedilen yeni adresler yaptırım listelerine eklendikçe tarama motorlarının da anında güncellenmesi gerekiyor.
### On-Chain Risk Skorlaması
Bir cüzdanın doğrudan yaptırım listesinde olmadığı durumlarda bile risk sinyalleri tespit edilebilir. Fonların kaynağı: karıştırıcı protokollerden mi geliyor? Yaptırıma tabi adreslerle zincir üzerinde kaç "hop" mesafede?
### Travel Rule Uyumu
Travel Rule sadece bir yasal zorunluluk değil; aynı zamanda tehdit istihbaratı toplama mekanizması.
### Tedarik Zinciri Güvenliği
Atomic Wallet soygununda görüldüğü üzere, Lazarus doğrudan saldırı yerine kullandığınız yazılım altyapısını hedef alıyor.
### Anomali Tespiti
Bybit saldırısında işlem imzalama süreci manipüle edilmişti. Bu tür anomalileri tespit edebilecek davranışsal izleme sistemleri kritik önem taşıyor.
---
## Defy Bu Tehdide Karşı Ne Sunuyor?
Defy'ın Live AML ve Investigation ürünleri, Lazarus Group gibi sofistike tehdit aktörlerine karşı doğrudan tasarlanmıştır.
**Gerçek Zamanlı Tarama:** Tüm işlemler, OFAC SDN listesi dahil küresel yaptırım listeleriyle anlık olarak karşılaştırılır.
**Risk Skorlaması:** Fonların blok zinciri üzerindeki geçmişi analiz edilerek her cüzdana bir risk skoru atanır.
**Travel Rule Uyumu:** Defy'ın Travel Rule modülü, VASP'lar arasında zorunlu bilgi paylaşımını kolaylaştırır.
**Forensic Analiz:** Şüpheli işlem örüntüleri tespit edildiğinde Defy'ın soruşturma araçları, fon akışlarını zincirler arası düzeyde izleyerek bütünsel bir hareket haritası çıkarır.
---
*Kaynaklar: FBI, OFAC, Chainalysis Crypto Crime Report 2024, Elliptic, TRM Labs, United Nations Panel of Experts on DPRK (2024)*