WazirX saldırısı: Yeni iddialar, içeriden yapılan iş ile siber saldırı arasındaki tartışmayı yeniden alevlendirdi

18 Temmuz 2024'te Hindistan'ın en büyük kripto para borsası WazirX, tek bir cüzdandan 235 milyon dolar (2.000 crore ₹) çalınarak önemli bir ihlale uğradı.

İlk başta Kuzey Koreli Lazarus Group'un sorumlu tutulduğu düşünülen saldırı, Hindistan'ın kripto para sektöründe alarma neden oldu.

Kullanıcılardan gelen iddialar ve WazirX'in finansal işlemlerindeki tutarsızlıklar, X kullanıcılarının olayın içeriden yapılmış olabileceği yönünde spekülasyonlara yol açtı.

Şüpheler artarken ve kanıtlar ortaya çıkarken, bunun bir siber saldırı mı yoksa mali çalkantıların ortasında hesaplanmış bir oyun mu olduğu konusunda sorular devam ediyor.

Mali sıkıntı ve düzenleyici engeller felaketin zeminini hazırlıyor

WazirX'in sorunları Temmuz ayındaki saldırıdan çok önce başladı. Şubat 2022'de Hindistan'ın %30'luk kripto vergisi, kullanıcı etkinliğinin ve kârlarının düşmesine neden oldu.

İki ay sonra kurucular Nischal Shetty ve Siddharth Menon'un Dubai'ye taşınması, artan incelemeler ortasında borsanın geleceği konusunda şüphelerin artmasına neden oldu.

Ağustos 2022'ye gelindiğinde, kara para aklama iddiaları Hindistan Uygulama Müdürlüğü'nün WazirX'e ait 8 milyon dolarlık varlığı dondurmasına yol açtı.

Bu, önemli operasyonel zorlanmanın başlangıcını işaret ediyordu. 2023'ün başlarında, eski ortağı Binance bağları kopardı, yönetim boşlukları yarattı ve hayati desteği kesti.

Ocak 2024'te Binance'in Hindistan'da yasaklanması, kullanıcıların fonlarını WazirX'e geri konsolide etmesine ve rezervlerin artmasına neden oldu.

Bu durum, 235 milyon doların tek bir cüzdanda riskli bir şekilde merkezileştirilmesine yol açtı ve bu cüzdanı kolay bir hedef haline getirdi; eleştirmenlerin öne sürdüğü gibi ise kasıtlı bir yükümlülük haline getirdi.

Saldırı operasyonel ihmali mi yoksa kasıtlı kötü oyunu mu ortaya çıkarıyor?

Temmuz 2024'teki saldırıda WazirX'in merkezi cüzdanında yoğunlaşan 235 milyon dolar ortadan kaldırıldı.

Eleştirmenler, bu kadar büyük bir miktarın tek bir yerde konsolide edilmesinin ardındaki mantığı sorguladı. Kötü risk yönetimi miydi yoksa ihmal kisvesi altında kasıtlı bir eylem miydi?

Yapılan incelemede çalınan paralara ilişkin tutarsız rakamlar ortaya çıktı.

WazirX'in başlangıçta 570 milyon dolar rezervi olduğu ve bunun 234 milyon dolarının çalındığı iddiası daha sonra 546 milyon dolara ve %45'inin kaybedildiğine revize edildi.

Bu tutarsızlıklar, iç kontrollerin zayıf olduğuna ve kötü niyet şüphelerinin arttığına işaret ediyor.

Mali suistimal iddiaları derinleşiyor

Finansal denetimler WazirX'te sorunlu uygulamaları ortaya çıkardı. Borsa 2022'de pazarlamaya 79 milyon dolar harcadı - gelirinin neredeyse %80'i - ancak ayrıntılı bir dökümü yok.

15 milyon dolarlık idari maliyet ve "Diğerleri" kategorisinde yer alan 23 milyon dolarlık belirsiz yükümlülükler kırmızı alarm durumuna geçti.

Saldırının ardından WazirX'in Singapur'da yükümlülüklerini yeniden yapılandırarak bir moratoryum önermesi hoşnutsuzluğu artırdı.

Kullanıcıların yalnızca %0,01'inin bu planı desteklemesiyle, şeffaflık ve kullanıcı güveni konusundaki endişeler derinleşti.

Dramı daha da artıran şey, rakip platform CoinSwitch'in, yetersiz cüzdan güvenliğini gerekçe göstererek Eylül 2024'te hack sonrası sıkıştığı iddia edilen fonları geri almak için WazirX'e dava açmasıydı.

Bu hukuki mücadeleler, platformun operasyonel kaosun ortasında olduğu izlenimini veriyor.

WazirX geri ödeme planını başlattıkça kullanıcılar kayıplarla karşı karşıya kalıyor

Güveni yeniden sağlama baskısı altında olan WazirX, bir geri ödeme planı açıkladı.

Bir "yeniden dengeleme hesaplayıcısı" artık kullanıcıların fon talep etmelerine izin veriyor, ancak %48 kayıpla. Her biri 1$'ı temsil eden Kurtarma Jetonları, gelecekteki gelirlere bağlı geri ödemelerle, ödenmemiş bakiyeler için yer tutucu görevi görecek.

WazirX, merkezi olmayan bir borsa başlatmak ve gelir elde etmek için merkezi platformunu yenilemek de dahil olmak üzere operasyonlarını yeniden başlatmayı planlıyor.

Ancak şüpheciler, bu önlemlerin kullanıcı güvenini yeniden kazanmaya yetip yetmeyeceğini sorguluyor.

Soruşturmalar içeriden birinin dahil olma ihtimalini ortaya koyuyor

Delhi Yüksek Mahkemesi ve yerel polis, şirket içi suistimal iddialarını araştırmaya başladı.

İddialar arasında, hacklenen ve etkilenmeyen hesaplardaki paraların birleştirilmesi, kullanıcı sözleşmelerinin ihlal edilmesi ve çalınan varlıkların Singapur'a aktarılması yer alıyor.

Bu iddialara ağırlık katan bir gelişme ise ihlalle bağlantılı bir şüphelinin tutuklanması oldu.

Soruşturmacılar şüphelinin WazirX sistemlerine sızmak için kullanılan sahte hesapları sattığını iddia ediyor.

Buna rağmen bunun yalnızca bir siber suç mu, yoksa organize edilmiş bir iç operasyon mu olduğu konusunda sorular devam ediyor.

Bozuk bir sistem kullanıcıları umutsuzluğa sürükler

Birçok WazirX kullanıcısı için saldırının sonuçları yıkıcı oldu.

Mağdurların borç, kaybedilen birikimler ve toparlanma belirsizliğiyle boğuşurken, mali çöküş hikayeleri sıkça duyuluyor.

Bu arada Hindistan'ın düzenleyici tepkisi yavaş olduğu için eleştiriliyor ve kullanıcılar tazminat için Singapur'un hukuk sistemine bağımlı kalıyor.

Milyonlarca doların söz konusu olduğu ve henüz net bir çözüm görünmediği bir ortamda, WazirX saldırısı kripto para sektörü için uyarıcı bir hikaye niteliği taşıyor.

Bunun içeriden yapılmış bir saldırı mı yoksa karmaşık bir siber saldırı mı olduğu henüz belli değil; ancak kullanıcı güveni ve platform sorumluluğu açısından sonuçları şimdiden belli.