Solana üzerinde faaliyet gösteren Bonk.fun, ciddi bir güvenlik olayına maruz kalarak hackerların hedefi oldu. Sitenin alan adı ele geçirildi ve saldırganların kullanıcıların cüzdanlarını boşaltmasına izin veren bir script eklediği tespit edildi. Kullanıcılar siteyi ziyaret etmekten kaçınmalı ve izinleri iptal etmelidir.

Bonk.fun’un, Solana üzerindeki memecoin lansman platformu olarak bilinen platformu, alan adı ele geçirilmesi ile karşı karşıya kaldı. 11 Mart 2026 tarihinde, saldırganlar web adresinin kontrolünü ele geçirerek bağlı cüzdanları boşaltmak için bir script yükledi.

Ekip tarafından yapılan açıklamaya göre, suçlular kullanıcıları sahte bir ekranla kandırmayı hedefledi. Ayrıca, site ile herhangi bir etkileşimde bulunmamaları konusunda acil bir uyarı yayınlandı.

Olay, blockchain’in güvenlik açıklarından ziyade site altyapısına yönelik bir saldırıydı. Kötü niyetli kişiler, bir ekip hesabını ele geçirerek platformun arayüzünü doğrudan değiştirme yetkisi elde etti.

Saldırganlar, siteye giriş yaptıklarında grafikleri ve pop-up’ları değiştirebildiler ve aldatıcı bir imza akışı ekleyerek kendi fonlarına erişmelerine olanak tanıdı. Ancak, on-chain kod ve bağlı akıllı sözleşmelerin etkilenmediği belirtildi.

Saldırganların kullandığı ana silah, sahte bir hizmet şartları pop-up’ıydı. Kullanıcılar Bonk.fun’a gittiklerinde, genellikle yasal uygunluk veya güncelleme mesajını taklit eden bir pencere gösterildi.

Kullanıcılar pop-up ile etkileşime girerek bilinçsizce saldırganın fonları boşaltma izni verdiği bir işlemi onaylamış oluyorlardı. Bu şekilde, script, arayüzün açısından herhangi bir anormallik olmaksızın varlıkları boşaltabiliyordu.

Sitenin operatörü Tom’un vurguladığı gibi, saldırı yalnızca front-end yüzeyini kullanmıştı. Solana blockchain’inde herhangi bir açık veya lansman platformuyla ilişkili akıllı sözleşmelere rastlanmadı.

Ekip, saldırıyı saptadıktan sonra hızlı bir şekilde yanıt verdi. Saldırı süresini kısaltarak, etkilenen cüzdanların sayısını sınırladılar. İlk değerlendirmelere göre, ekonomik kayıpların sınırlı olduğu belirtildi.

Yalnızca alan adı ele geçirilme döneminde site ile etkileşimde bulunan kullanıcıların potansiyel olarak etkilendiği bildirildi. Özellikle sahte pop-up’ı imzalayanlar, fonlarını saldırganların kontrol ettiği adreslere taşındığını görebilirler.

Bonk.fun ile ilişkili cüzdanlarını önceden bağlamış ancak ele geçirme döneminde site ile etkileşimde bulunmamış kullanıcıların etkilenmediği belirtildi. Ayrıca, üçüncü taraf ticaret platformları üzerinden işlem yapanların olaydan etkilenmediği ifade edildi.

Ekip, şimdi öncelikli olarak alan adını güvence altına almayı ve arayüzün temiz bir sürümünü geri yükleme konusuna odaklandı. Genel olarak, dikkatler on-chain izleme ve toplulukla şeffaf iletişim üzerinde yoğunlaşmış durumda.

Olay, kripto dünyasında artan bir trendin parçasıdır: kötü niyetli aktörler, protokol zafiyetlerinden ziyade siteler ve kullanıcı arayüzlerine yönelik saldırıları tercih etmektedir. Bu şekilde, kullanıcı güvenine doğrudan dayanarak, blockchain’in sağlamlığından kaçınabilirler.

Akıllı sözleşmelerdeki klasik hatalardan farklı olarak, front-end saldırıları, uygulama güvenliği, iç hesap yönetimi ve alanlara erişim denetimlerine daha fazla dikkat gerektirir. Ayrıca, kullanıcıların işlemleri manuel olarak doğrulamasının önemi vurgulanmaktadır.

Olay, Solana cüzdanlarını kullananların daha sıkı güvenlik uygulamalarını benimsemeleri gerekliliğini ortaya koyuyor. Her imza talebini okumak, hedef adresleri kontrol etmek ve güvenilmeyen beklenmedik pop-up’lardan kaçınmak önemlidir.

Bonk.fun vakası, Web3 ekosistemi için bir uyarı niteliği taşımaktadır. Güvenli on-chain altyapılara sahip olsalar bile, saldırı yüzeyi, etki alanı, arayüz ve hesap yönetimi açısından geniştir.

Sonuç olarak, olay, ekiplerin front-end kontrollerini güçlendirmesi ve kullanıcıların daha dikkatli doğrulama alışkanlıkları edinmeleri gerekliliğini vurgular. İyi işletme uygulamaları ile bireysel farkındalığın bir araya gelmesi, benzer gelecekteki olayların etkisini azaltmak için hayati öneme sahiptir.

⚠️ Bu içerik yatırım tavsiyesi değildir.