Polymarket Saldırısı: Çalınan 3 Milyon Dolar Tek Bir Ethereum (ETH) Cüzdanına Aktarıldı

Kripto Haberleri

Tahmin piyasası (prediction market) Polymarket, perşembe günü kullanıcılarına ait yaklaşık 3 milyon dolarlık fonu, saldırganların üçüncü taraf bir tedarikçiyi ele geçirip platformun ön yüzüne (front-end) kötü amaçlı kod enjekte etmesinin ardından kaybetti. Olayı kendi gözümüzle okuduğumuzda tablo netleşiyor: bu, Polymarket’in kendi akıllı sözleşmelerindeki bir açıktan değil, tedarik zinciri tarafından gelen bir ihlalden kaynaklanıyor. Değiştirilen site, onayları sessizce başka adreslere yönlendirerek saldırganların kullanıcılar fark etmeden cüzdanları boşaltmasına imkân tanıdı. Tanınmış bir zincir üstü analist hırsızlığı ilk işaret eden taraf oldu ve bir grup hesaptan 2,94 milyon dolara kadar fonun çekildiğini tahmin etti. Olay, akıllı sözleşmeler sağlam dururken bile merkeziyetsiz bir uygulamayı besleyen zincir dışı altyapının ne kadar yumuşak bir hedef olduğunu bir kez daha gösteriyor. Polymarket, saldırı vektörünün artık kapatıldığını belirtiyor.

Polymarket ihlali resmi bir açıklamayla doğruladı ve etkilenen her müşterisinin zararını eksiksiz karşılayacağına dair söz verdi. Şirket, kötü amaçlı ön yüz kodunun kontrol altına alınıp kaldırıldığını, kamuoyuyla ismini paylaşmadığı ele geçirilmiş tedarikçinin ise saldırının giriş noktası olduğunu aktardı. Son açıklamaya kadar, çalınan tutarın ne kadarının geri kazanılabileceği ile şirket kaynaklarından ne kadarının tazmin edileceğine dair bir rakam paylaşılmadı. Bu tazminat taahhüdü, olayı tipik bir öz saklama (self-custody) kaybından ayırıyor; çünkü Polymarket, üçüncü taraf kaynaklı bir başarısızlığın sorumluluğunu üstlenerek, saklamacı olmayan platformların çoğunun tamamen son kullanıcıya yıkacağı bir maliyeti kendi sırtına alıyor.

Bu ihlal, Polymarket’in iki ay içindeki ikinci güvenlik olayı ve protokol istismarından çok sosyal mühendislik saldırılarına dayanan tekrar eden bir kalıba oturuyor. Geçtiğimiz yıl boyunca saldırganlar, kullanıcıları klon sitelerde kimlik bilgilerini teslim etmeye kandırdı ve cüzdanları dakikalar içinde boşalttı. Bu ayın başında tek bir yatırımcı, sahte bir Polymarket klonuna tek seferlik şifresini (OTP) girdikten sonra 2 milyon doların üzerinde kayıp yaşadı; bu durum saldırganın kurbanın e-postaya bağlı giriş cüzdanını ele geçirip fonları anında çekmesine yol açtı. Mühendislik ekibi o dönemde kaybın sahte bir alan adında gerçekleştiğini, Polymarket’in üretim altyapısındaki herhangi bir kusur üzerinden olmadığını vurgulamıştı; bu haftaki tedarikçi ihlali ise bu ayrımı daha karmaşık hale getiriyor.

Zincir üstü veriler paranın nasıl hareket ettiğini netleştiriyor. Saldırganlar, Polymarket’in dolara sabitlenmiş stabilcoin’i olan ve USDC ile teminatlandırılıp platformdaki her işlemin takasında kullanılan pUSD’yi tutan cüzdanları boşalttı, ardından gelirleri ETH’ye çevirdi. Dönüştürülen fonlar tek bir Ethereum (ETH) adresinde toplandı ve bu yazının yazıldığı sırada hâlâ orada bekliyor. Zincir analistleri, 15’ten az hesabın etkilenmesiyle hasarın büyük ölçüde sınırlı kaldığı sonucuna vardı; ancak daha fazla işlem izlendikçe bu sayının artması mümkün. Çalınan değeri tek bir zincir üstü cüzdanda toplamak, adli analiz firmaları için izi görünür kılsa da herhangi bir dondurma işlemini zorlaştırıyor.

Olası bir POLY airdrop beklentisi, platform kullanıcılarına yönelik kimlik avı (phishing) tehdidini büyütüyor. 25 Haziran’da gözlemciler, Polymarket’in SSS sayfasını sessizce güncelleyerek daha önce token’ı olmadığını belirten ifadeleri sildiğini ve ücretsiz bir dağıtım planı bulunmadığına dair satırları kaldırdığını fark etti. Şirketin bir pazarlama yöneticisi, Ekim 2025 tarihli bir röportajda uzun vadeli sürdürülebilirliğe sahip, fayda taşıyan bir varlık hedefini tarif ederek token niyetinin sinyalini zaten vermişti. Bu beklenti, yatırımcıları uygunluk kriterlerini karşılama umuduyla stratejilerini değiştirmeye itiyor; bu da dolandırıcılara taze bir kılıf sağlıyor: bir altcoin dağıtımı yaklaşır göründüğünde sahte uygunluk denetleyicileri ve taklit talep sayfaları kolay birer tuzağa dönüşüyor.

Polymarket bağlantılı altyapının hedef alınması ilk kez yaşanmıyor. Mayıs ayında platformun Polygon üzerindeki UMA CTF Adapter bileşeni ele geçirilmiş, soruşturmacılar bu ihlali bir sözleşme hatasına değil çalınan bir dağıtım anahtarına (deployer key) bağlamıştı. Dağıtım anahtarı olayı, klon site OTP hırsızlığı ve bu haftaki tedarikçi ihlali bir araya getirildiğinde, aynı sonucu doğuran üç farklı giriş noktasının istismar edildiği görülüyor: fonlar tespit edilmeden çekiliyor. Ortak nokta, zincir üstü piyasaların kendi bütünlüğü değil; anahtar yönetimi, tedarikçi denetimi ve kullanıcı kimlik doğrulamasından oluşan operasyonel ve insan katmanı güvenliği. Belgelenen üç olayın hiçbirinde zincir üstü piyasalar başarısızlık noktası olmadı.

Bizim okumamıza göre Polymarket kümesi, sektörün en az fiyatlanan riskini açığa çıkarıyor: aslında sağlam sözleşmelerin etrafındaki zincir dışı saldırı yüzeyi. COINOTAG’in toplu piyasa verilerine göre, duyarlılık zaten kırılgan; Korku ve Açgözlülük Endeksi (Fear & Greed Index) 100 üzerinden 13 puanla derin Aşırı Korku bölgesinde, Bitcoin baskınlığı yüzde 70,2’ye tırmanmış ve toplam kripto piyasa değeri 1,7 trilyon dolar civarında seyrederek sermayenin güvenli görülen varlıklara döndüğüne işaret ediyor. Tekrarlayan ön yüz ve tedarikçi ihlalleri, tam da tahmin piyasaları ile stabilcoin raylarının dayandığı güveni aşındırıyor. Çalınan pUSD’nin ETH’ye dönüştürülerek tek bir izlenebilir adreste toplanması soruşturmacılara bir ipucu veriyor; ancak fonların geri kazanımı henüz doğrulanmış değil.