Solana tabanlı bir sürekli vadeli işlem borsası, saldırganların üç hafta boyunca sessizce sahte teminatlar oluşturup protokolün imza sahiplerini sosyal mühendislik yöntemleriyle kandırmasının ardından, 1 Nisan 2026'da 12 dakika içinde 286 milyon dolarlık zarara uğradı. Bu olay, son birkaç gündür kripto çevrelerinde en çok konuşulan konu oldu.
Drift Protocol Saldırısı 2026: Neler Oldu, Kimler Para Kaybetti ve Bundan Sonra Ne Olacak?
YAZAN
PAYLAŞ
DPRK Lazarus Grubu, Drift Protocol'den 286 Milyon Dolarlık Solana Hırsızlığından Şüpheli
Solana ağındaki en büyük merkeziyetsiz sürekli vadeli işlem borsası olan Drift Protocol, toplam kilitli değerinin (TVL) tek bir sabah içinde yaklaşık 550 milyon dolardan 250 milyon doların altına düşmesini ve şu anda 232 milyon dolar seviyesinde kalmasını izledikten sonra bu istismarı doğruladı. Bitcoin.com News, bu konuyu ilk haber yapan kaynak oldu. DRIFT tokeni, takip eden saatlerde %37–42 oranında değer kaybetti ve 0,04–0,05 dolar civarında dip yaptı.
Raporlara göre saldırı, bir kod hatasıyla değil, Tornado Cash'ten yapılan bir para çekme işlemiyle başladı. 11 Mart'ta saldırgan, Ethereum tabanlı gizlilik protokolünden ETH çekti ve bu fonları 12 Mart'ta carbonvote tokeni (CVT) dağıtmak için kullandı. Blockchain analistleri, dağıtım zaman damgasının Pyongyang saatiyle yaklaşık 09:00'a denk geldiğini belirttiler; bu ayrıntı, hemen şüphe uyandırdı.
Birkaç raporda, sonraki üç hafta boyunca saldırganın Raydium merkeziyetsiz borsasında CVT için minimum likidite sağladığı ve fiyatı 1,00 dolar civarında tutmak için wash trading kullandığı belirtiliyor. Drift'in oracle'ları bu fiyatı meşru olarak algıladı. Saldırgan, onu izleyen her otomatik sisteme gerçek gibi görünen sahte teminat oluşturmuştu.
Drift ekibi, "Bugün erken saatlerde, kötü niyetli bir aktör, kalıcı nonce'leri içeren yeni bir saldırı yoluyla Drift Protokolüne yetkisiz erişim sağladı ve bu da Drift'in Güvenlik Konseyi'nin idari yetkilerinin hızla ele geçirilmesine yol açtı" diye yazdı.
Projenin X hesabı şunları ekledi:
"Bu, yürütmeyi geciktiren işlemleri önceden imzalamak için dayanıklı nonce hesaplarının kullanımı da dahil olmak üzere, haftalarca süren hazırlık ve aşamalı yürütme içeren oldukça sofistike bir operasyondu."
Görünüşe göre, 23 Mart ile 30 Mart arasında, Drift saldırganı insan katmanına geçti. Saldırganın, "durable nonces" adlı meşru bir Solana özelliğini kullanarak, Drift Güvenlik Konseyi'nin çoklu imza (multisig) üyelerini, rutin görünen işlemleri önceden imzalamaya ikna ettiği bildirildi. Bu imzalar, saldırgan hazır olana kadar yedekte tutulan, önceden onaylanmış erişim anahtarları haline geldi.
Bu fırsat, 27 Mart'ta Drift'in Güvenlik Konseyi'ni 5'te 2 imza eşiğine geçirip zaman kilidini tamamen kaldırmasıyla sona erdi. Zaman kilidi genellikle idari işlemlerde 24 ila 72 saatlik bir gecikmeye neden olur ve topluluğa şüpheli durumları yakalayıp geri çevirmek için zaman tanır. Zaman kilidi olmadan saldırgan, gecikmesiz yürütme yetkisine sahip oldu. Önceden imzalanmış işlemler, zaman kilidi kaldırıldığı anda devreye girdi.
1 Nisan'da saldırgan bu işlemleri etkinleştirdi, CVT'yi geçerli teminat olarak listeledi, para çekme limitlerini yükseltti ve Drift'in risk motorunun gerçek varlıklar ihraç ettiği yüz milyonlarca CVT tokeni yatırdı. Protokol, milyonlarca JLP tokeni, milyonlarca USDC, milyonlarca SOL ve daha küçük miktarlarda wrapped bitcoin ve ethereum devretti. Otuz bir para çekme işlemi yaklaşık 12 dakika içinde tamamlandı.
Saldırgan, çaldığı tokenleri Jupiter kullanarak USDC'ye dönüştürdü, Ethereum'a aktardı ve on binlerce ETH ile takas etti. Bazı fonlar Hyperliquid üzerinden yönlendirildi ve bir kısmı doğrudan Binance'e aktarıldı. 3 Nisan'da Drift, bir Ethereum adresinden hackerların kontrolündeki dört cüzdana bir onchain mesajı gönderdi. cryptonomist.ch yayını, mesajın şu şekilde olduğunu bildiriyor:
"Konuşmaya hazırız."
Güvenlik firmaları Elliptic ve TRM Labs, saldırıyı Tornado Cash kökeni, Pyongyang saat dilimindeki dağıtım imzası, sosyal mühendislik odaklı yaklaşımı ve saldırı sonrası para aklama hızını gerekçe göstererek Kuzey Kore ile bağlantılı tehdit aktörlerine atfetti. Lazarus Grubu, 2022 Ronin köprüsü saldırısında da aynı sabırlı ve insan odaklı yaklaşımı kullanmıştı. ABD hükümeti bu hırsızlıkları Kuzey Kore'nin silah programı finansmanıyla ilişkilendirdi ve Elliptic, yalnızca 2026'nın ilk çeyreğinde çalınan 300 milyon doları aşan bir tutarı takip etti.
Bulaşma 20'den fazla protokole yayıldı. Prime Numbers Fi, milyonlarca dolarlık kayıp bildirdi. Carrot Protocol, TVL'sinin %50'si etkilendikten sonra basım ve itfa işlevlerini askıya aldı. Pyra Protocol, para çekme işlemlerini tamamen devre dışı bırakarak tüm kullanıcı fonlarına erişimi engelledi. Piggybank 106.000 dolar kaybetti ve kullanıcıları kendi ekip hazinesinden tazmin etti.
Solana hazine stratejisine sahip Nasdaq'ta işlem gören bir şirket olan DeFi Development Corp., 1 Nisan'da Drift'e maruz kalmadığını doğruladı. Risk çerçevesi, protokolü tamamen hariç tutuyordu. Bu gerçek, şirketin muhtemelen amaçladığından daha fazla dikkat çekti.
Drift Protocol’deki SOL Güvenlik Açığı Nedeniyle 200 Milyon Dolardan Fazla Para Çalındı: 2026’nın En Büyük DeFi Saldırısı mı?
Solana'daki Drift Protocol'ün 1 Nisan 2026'da meydana gelen ve bir güvenlik açığı saldırısı olduğundan şüphelenilen olayda 200 milyon doların üzerinde kayıp yaşadığı bildirildi. Projenin kendi tokenı önemli ölçüde değer kaybetti. read more.
Şimdi oku
Drift Protocol’deki SOL Güvenlik Açığı Nedeniyle 200 Milyon Dolardan Fazla Para Çalındı: 2026’nın En Büyük DeFi Saldırısı mı?
Solana'daki Drift Protocol'ün 1 Nisan 2026'da meydana gelen ve bir güvenlik açığı saldırısı olduğundan şüphelenilen olayda 200 milyon doların üzerinde kayıp yaşadığı bildirildi. Projenin kendi tokenı önemli ölçüde değer kaybetti. read more.
Şimdi okuDrift Protocol’deki SOL Güvenlik Açığı Nedeniyle 200 Milyon Dolardan Fazla Para Çalındı: 2026’nın En Büyük DeFi Saldırısı mı?
Şimdi okuSolana'daki Drift Protocol'ün 1 Nisan 2026'da meydana gelen ve bir güvenlik açığı saldırısı olduğundan şüphelenilen olayda 200 milyon doların üzerinde kayıp yaşadığı bildirildi. Projenin kendi tokenı önemli ölçüde değer kaybetti. read more.
Drift olayı, sektörün çoğunun zaten bildiği ancak tam olarak uygulamadığı açık bir ders verdi: zaman kilidi isteğe bağlı değildir. 27 Mart'ta bu tek güvenlik önleminin kaldırılması, karmaşık, haftalar süren bir saldırıyı 12 dakikalık bir nakit çekimine dönüştürdü. Gecikme mekanizması olmayan protokol yönetimi, kapısı açık bir yönetimdir.
DeFi saldırısının ardından geçen 48 saat, Drift'in kullanıcı güvenini koruması ve bir kurtarma yolu belirlemesi açısından kritik olarak nitelendirildi. 3 Nisan itibarıyla kapsamlı bir geri ödeme planı açıklanmamıştı.
SSS 🔎
- Drift Protokolüne ne oldu? Saldırganlar, 1 Nisan 2026'da sahte teminatlar ve önceden imzalanmış idari işlemler kullanarak Drift Protokolünden 286 milyon dolar çaldı ve protokolün ana kasalarını 12 dakika içinde boşalttı.
- Drift Protocol saldırısından kim sorumlu? Elliptic ve TRM Labs gibi güvenlik firmaları, Lazarus Group'un yöntemleriyle tutarlı para aklama kalıpları ve zincir üzerindeki zaman damgalarını gerekçe göstererek, saldırıyı Kuzey Kore ile bağlantılı tehdit aktörlerine atfetti.
- Drift Protocol'de param güvende mi? Drift, saldırının ardından tüm para yatırma ve çekme işlemlerini askıya aldı; Pyra ve Carrot gibi etkilenen protokollerdeki kullanıcılar, 3 Nisan 2026 itibarıyla fonlarına erişememektedir.
- Solana DeFi'de kalıcı nonce saldırısı nedir? Kalıcı nonce saldırısı, rutin görünen işlemleri önceden imzalamak için meşru bir Solana özelliğini kullanır ve saldırgan bunları yürütmeye karar verene kadar bunları canlı yetkilendirme anahtarları olarak tutar.
