Drift Protokolü 285 Milyon Dolarlık Bir Hırsızlığa Uğradı: Neler Ters Gitti ve Bundan Sonra Ne Olacak?

1 Nisan 2026'da Solana merkezli Drift Protokolü yaklaşık 285 milyon dolarlık bir saldırıya uğradı ve bu da onu yılın bugüne kadarki en büyük DeFi saldırısı haline getirdi. Saldırgan, protokolün yönetim kontrolünü ele geçirmek için sahte bir token, manipüle edilmiş fiyat akışları ve önceden imzalanmış işlemler içeren çok haftalık bir kurulum kullandı ve ardından gerçek kullanıcı fonlarını 12 dakikadan kısa bir sürede boşalttı.

1 Nisan'da Drift Protocol'e Ne Oldu?

Saldırı birdenbire ortaya çıkmadı. Drift Protocol ekibine göre, günler süren hazırlığın sonucuydu ve hasar meydana geldikten sonra ancak fark edildi.

Drift'in toplam kilitli değeri (TVL) yaklaşık 550 milyon dolardan daha düşük bir seviyeye düştü. $ 300 milyon Bir saatten kısa bir süre içinde. Olay sırasında DRIFT token'ı %40'tan fazla değer kaybetti. Güvenlik firması PeckShield onaylı Zarar 285 milyon doları aşarak, protokolün o zamanki toplam değerinin %50'sinden fazlasına denk geldi.

Zamanlama hemen kafa karışıklığına neden oldu. Drift'in ekibi, durumun gerçek olduğunu açıklamak için X'te şu açıklamayı yaptı: "Bu bir 1 Nisan şakası değil. Bir sonraki duyuruya kadar dikkatli olun."

Protokol gereği, soruşturma başladığı sırada tüm para yatırma ve çekme işlemleri askıya alındı.

Saldırgan, güvenlik açığını günler öncesinden nasıl hazırladı?

Raporlara göre, saldırgan hırsızlığı gerçekleştirmeden önce en az 9 gün boyunca gerekli koşulları hazırladı.

Sahte Jeton ve Oracle Tuzağı

Saldırgan, "token" adı verilen bir token oluşturdu. CarbonVote Token (CVT)Yaklaşık 750 milyon adet basım gerçekleştirdiler. Raydium'da sadece 500 dolarla bir likidite havuzu oluşturdular ve kendi cüzdanları arasında token alım satımı yaparak, 1 dolara yakın sahte bir fiyat geçmişi oluşturdular. Zamanla, zincir üstü fiyat oracle'ları bu yapay fiyatı algıladı ve CVT'yi token başına yaklaşık 1 dolar değerinde meşru bir varlık olarak değerlendirdi.

Oracle, dışarıdan gelen fiyat verilerini akıllı sözleşmeye ileten bir hizmettir. Oracle'a manipüle edilmiş veri verildiğinde, akıllı sözleşmenin fiyatın sahte olduğunu bilmesinin hiçbir yolu yoktur.

Dayanıklı Pezevenk Saldırısı

Ayrıca, saldırgan Solana'nın "dayanıklı nonce" adı verilen bir özelliğini kullanarak işlemleri önceden imzaladı ve yürütülmelerini geciktirdi. Dayanıklı nonce, normal işlem sona erme mekanizmasının yerini alarak imzalanmış bir işlemin saklanmasına ve gelecekte herhangi bir zamanda gönderilmesine olanak tanır.

Umut Vaat Eden Projeleri Keşfedin...

Umut Vadeden Projeler...

(İlan)

Makale devam ediyor...

Zaman çizelgesi:

• Mart 23: Dört adet kalıcı nonce hesabı oluşturuldu. Bunlardan ikisi gerçek Drift Güvenlik Konseyi çoklu imza üyeleriyle bağlantılıydı. Diğer ikisi ise saldırgan tarafından kontrol ediliyordu.
• Mart 27: Drift, planlanan üye değişikliği nedeniyle Güvenlik Konseyini yeniden yapılandırdı. Saldırgan, güncellenen çoklu imza sisteminde iki imzalayıcıya da erişim sağladı.
• Mart 30: Güncellenen çoklu imza grubunun bir üyesi için yeni bir kalıcı nonce hesabı oluşturuldu.
• Nisan 1: Saldırgan, dört slot arayla iki adet önceden imzalanmış kalıcı nonce işlemi gerçekleştirdi ve bu sayede protokol düzeyindeki izinlerin kontrolünü ele geçiren bir yönetici transferi tamamladı.

Yönetici erişimini güvence altına alan saldırgan, CVT'yi Drift'te geçerli bir piyasa olarak listeledi, tüm para çekme limitlerini kaldırdı, yüz milyonlarca CVT token'ını teminat olarak yatırdı ve ardından yaklaşık 12 dakika içinde USDC, JLP, SOL, Wrapped BTC, Jito (JTO) ve Fartcoin (FRT) memecoin'i de dahil olmak üzere gerçek varlıkları 31 hızlı para çekme işlemiyle tüketti.

Drift, saldırının akıllı sözleşmelerindeki bir hatadan veya ele geçirilmiş herhangi bir kurtarma ifadesinden kaynaklanmadığını doğruladı. Bunun yerine, saldırı "işlemin yürütülmesinden önce elde edilen yetkisiz veya yanlış beyan edilmiş işlem onayları" ile ilgiliydi.

Trail of Bits'in 2022'deki ve ClawSecure'un Şubat 2026'daki güvenlik denetimleri Drift'i aklamıştı, ancak bu incelemelerin hiçbiri saldırıyı mümkün kılan CVT pazar girişini veya yönetim değişikliklerini tespit edememişti.

Çalınan Paralar Nereye Gitti?

Saldırının ardından, saldırgan izleri gizlemek için hızla harekete geçti.

Çalınan varlıklar USDC ve SOL'e dönüştürüldü, ardından Circle'ın Çapraz Zincir Transfer Protokolü (CCTP) kullanılarak Solana'dan Ethereum'a aktarıldı. Saldırgan, Ethereum'da fonları ETH'ye çevirdi. Zincir içi izlemeye göre, saldırgan nihayetinde yaklaşık 129,066 ETH biriktirdi. $ 273 milyon zamanında.

Saldırgan ayrıca SOL'ü hem HyperLiquid'e hem de Binance'e yatırdı; bu da birden fazla platform ve cüzdan genelinde izleme çalışmalarını zorlaştırdı.

Circle Hırsızlığı Durdurmak İçin Yeterince Şey Yaptı mı?

Zincir üstü araştırmacı ZachXBT alenen eleştirilen Saldırının ardından Circle, çalınan büyük miktarda USDC'nin ABD iş saatleri içinde Solana'dan Ethereum'a dondurulmadan aktarıldığını belirtti.

ZachXBT, bu yanıtı Circle'ın yakın zamanda ABD'de görülen gizli bir hukuk davasında birbirinden bağımsız 16 şirketin banka hesaplarını dondurma kararıyla karşılaştırdı ve Circle'ın müdahale etme yeteneğine ve emsaline sahip olduğunu ancak zararı sınırlamak için yeterince hızlı hareket edemediğini savundu.

Sapmanın Ötesinde Hangi Protokoller Etkilendi?

Olayın yankıları Solana'nın DeFi ekosisteminin tamamına yayıldı. Drift likiditesine bağlı birçok platform faaliyetlerini durdurdu veya kayıplar bildirdi:

• PiggyBank_fi, delta-nötr stratejiler aracılığıyla yaklaşık 106,000 dolarlık risk maruziyetini bildirdi ve ekip fonlarını kullanarak kullanıcıları doğrudan kapsadı.
• Reflect Money, USDC+ ve USDT+ ​​para birimlerinin basım ve geri alım işlemlerini durdurdu.
• Ranger Finance, RGUSD para yatırma ve çekme işlemlerini durdurdu; tahmini risk 900,000 doların üzerinde.
• Project0, önlem olarak Drift pozisyonlarına karşı borçlanmayı durdurdu.
• TradeNeutral, GetPyra, xPlace, Uselulo ve Elemental DeFi'nin tamamı önemli özelliklerini askıya aldı veya sınırlı erişim bildirdi.
• Jupiter Exchange, JLP havuzunun tamamen desteklenmeye devam ettiğini doğruladı.

Drift için bundan sonra ne olacak?

Drift, çalınan varlıkların izini sürmek ve geri almak için çeşitli güvenlik firmaları, borsalar, köprüler ve kolluk kuvvetleriyle koordinasyon halinde çalışıyor. Çoklu imza, tehlikeye atılmış cüzdanı kaldırmak için güncellendi. Protokolün geri kalan tüm işlevleri dondurulmuş durumda.

Immunefi'ye göre CEO Mitchell AmadorToken fiyatı üzerindeki etki genellikle saldırının kendisinden daha uzun sürer. Immunefi verileri, saldırıya uğrayan protokollere ait yerel tokenlerin %83'ünün saldırı öncesi fiyatlarına asla geri dönmediğini gösteriyor.

Drift'ten önümüzdeki günlerde detaylı bir inceleme raporu bekleniyor.

Kaynaklar

1. X'te PeckShield: Gönderiler (1-2 Nisan)

2. X'te Lookonchain: Gönderiler (1-2 Nisan)

3. X üzerinde Sürüklenme Protokolü: Gönderiler (1-2 Nisan)

4. Mitchell Amador X'te25 Mart'ta yayınlandı