Solana ekosisteminin en büyük merkeziyetsiz vadeli işlem platformlarından biri olan Drift Protocol, dün gerçekleşen büyük çaplı bir siber saldırıyla gündeme geldi.
Blockchain analiz şirketi Elliptic tarafından yapılan incelemeye göre saldırıda yaklaşık 286 milyon dolar değerinde kripto para çalındı. İlk bulgular, saldırının Kuzey Kore bağlantılı kişiler ile ilişkili olabileceğine işaret ediyor.
Elliptic, saldırıda kullanılan zincir üstü hareketler, para aklama yöntemleri ve ağ davranışlarının daha önce Kuzey Kore ile ilişkilendirilen operasyonlarla benzerlik gösterdiğini belirtti. Eğer bu bağlantı doğrulanırsa, bu olay 2026 yılı içinde Kuzey Kore ile ilişkilendirilen 18. saldırı olacak. Şirket, yıl başından bu yana bu tür saldırılarda toplam çalınan miktarın 300 milyon doları aştığını belirtirken, Kuzey Kore bağlantılı grupların son yıllarda toplamda 6.5 milyar dolardan fazla kripto varlık çaldığının tahmin edildiğini aktardı.
Saldırının başlamasından kısa süre sonra saldırganın, protokoldeki birden fazla varlık kasasından (vault) fonları sistematik şekilde çekerek likiditenin büyük kısmını boşalttığı belirtildi. Blockchain güvenlik firması PeckShield, saldırının muhtemel nedeninin yöneticiye ait özel anahtarların ele geçirilmesi olduğunu açıkladı. Bu durum, saldırgana sistem üzerinde ayrıcalıklı erişim sağlayarak çekim işlemleri başlatmasına ve yönetim parametrelerini değiştirmesine imkan tanıdı.
Saldırıda özellikle JLP Delta Neutral, SOL Super Staking ve BTC Super Staking vault’ları hedef alındı. Tek bir işlemde yaklaşık 41.7 milyon JLP tokeninin (yaklaşık 155 milyon dolar değerinde) çekildiği bildirildi. Ayrıca USDC, SOL, cbBTC, wBTC ve çeşitli likit staking tokenleri de saldırı kapsamında ele geçirildi.
Veri platformu DefiLlama, saldırı sonrası Drift Protocol’ün kilitli toplam değerinin (TVL) yaklaşık 550 milyon dolardan 250 milyon doların altına düştüğünü açıkladı. Bu olay, 2026’nın en büyük DeFi saldırısı olarak kayıtlara geçerken, Solana ekosisteminde Wormhole bridge saldırısı sonrası ikinci en büyük güvenlik ihlali oldu.
Drift ekibi, sosyal medya üzerinden yaptığı açıklamada platformun “aktif bir saldırı” altında olduğunu doğrulayarak para yatırma ve çekme işlemlerini geçici olarak durdurduğunu duyurdu. Ekip ayrıca çeşitli güvenlik firmaları, köprü protokolleri ve borsalarla koordinasyon içinde çalıştıklarını belirtti.
Zincir üstü verilere göre saldırganın kullandığı cüzdan, saldırıdan yaklaşık sekiz gün önce oluşturuldu ve bu süreçte küçük bir test transferi gerçekleştirdi. Bu durum, saldırının önceden planlanmış ve aşamalı şekilde yürütülmüş olabileceğine işaret ediyor.
Saldırgan, ele geçirilen varlıkların büyük kısmını Solana tabanlı bir DEX toplayıcısı üzerinden hızla USDC’ye çevirdi. Ardından bu fonlar Ethereum ağına köprülenerek ETH’ye dönüştürüldü. Elliptic, çok zincirli analiz araçları sayesinde fonların Solana’dan Ethereum’a uzanan hareketinin izlenebildiğini belirtti.
Saldırı, Kuzey Kore bağlantılı siber faaliyetlerde son dönemde gözlenen artışın bir parçası olarak değerlendiriliyor. Nitekim yakın zamanda Google, popüler Axios npm paketine yönelik tedarik zinciri saldırısının da Kuzey Kore bağlantılı UNC1069 grubu tarafından gerçekleştirildiğini açıklamıştı.
*Yatırım tavsiyesi değildir.