Polymarket, hacme göre en büyük blokzincir tahmin piyasası, 25 Haziran 2026'da başlayan bir saldırı sonucu yaklaşık 3,1 milyon dolar kullanıcı varlığını kaybetti. Bu kayıp, platformun etkilenen kullanıcılara tam geri ödeme sözü vermesinden yalnızca birkaç gün sonra yukarı yönlü olarak revize edildi. Saldırganlar, Polymarket bahislerini çözen akıllı sözleşmeleri aşmadı. Bunun yerine, ön yüz kodu sağlayan üçüncü taraf bir tedarikçi kompromize edilerek, kötü amaçlı bir betik kullanıcıların tarayıcılarında sayfaya gizlice eklendi. On bir kullanıcı cüzdanı boşaltıldı, çalınan bakiyeler Polymarket'in dolara endeksli tokenından çıkarılarak yaklaşık 1.893 ETH'ye dönüştürüldü ve saldırganın kontrolündeki adreslere aktarıldı.
Zamanlama dikkat çekiciydi. Yaklaşık beş hafta içinde ikinci bir güvenlik zaafiyeti yaşandı ve geri ödeme sözü, zararın ilk bildirilenin üzerinde olduğunun açıklanmasından hemen sonra geldi. Aşağıda, olayın ne şekilde gerçekleştiği, zamanlamanın neden önemli olduğu ve bunun tahmin piyasaları ile DeFi platformlarındaki saklama riskleri hakkında ne anlattığı özetlenmektedir.
Polymarket Saldırısında Ne Oldu?
Bu saldırı, bir supply-chain (tedarik zinciri) zaafiyetiydi, akıllı sözleşme açığı değil. Polymarket'in zincir üzerindeki sözleşmeleri amaçlandığı gibi çalıştı. Zayıf nokta, kullanıcı ile bu sözleşmeler arasındaki web katmanıydı. Ön yüz kodunu sağlayan üçüncü taraf bir tedarikçi ihlal edildi ve saldırgan bu erişimi, sayfaya yetkisiz bir betik enjekte etmek için kullandı. Etkilenen kullanıcılar siteyi yüklediğinde, bu betik tarayıcılarında sessizce çalışarak, aslında onaylamak istemedikleri cüzdan işlemlerini imzalamalarını sağladı. İmzalar rutin göründüğü için olağan uyarılar çıkmadı.
Hedef, Polymarket'in USDC destekli dolara endeksli stabilcoini pUSD idi. Saldırgan bakiyeleri ele geçirdiğinde, pUSD'yi Ethereum'a çevirdi, Polygon'dan Ethereum ana ağına köprüledi ve tüm fonları tek bir cüzdanda topladı. İlk kamu duyurusunda kaybın yaklaşık 2,9 milyon dolar olduğu belirtildi. Ancak birkaç gün içinde bu rakam, daha fazla cüzdanın etkilenmiş olduğu tespit edilince 3,1 milyon dolar olarak revize edildi. Geri ödeme sözü, rakam daha küçük görünürken verilmişti; yukarı yönlü revizyon, bu nedenle olumsuz karşılandı.
Basitçe anlatmak gerekirse; kasa kırılmadı, ama ön kapının tuş takımıyla oynandı ve siz işleminizi yaparken, fark etmeden bir yabancıya transferi onayladınız. Bu nedenle, stabilcoin cüzdanınızda olsa bile çıkış yapabiliyor. Sözleşmeler sağlam kaldı; arayüz yanıltıcıydı.
Geri Ödeme Sözü Sonrası Zamanlamanın Önemi
Polymarket hızlıca iletişim kurdu. İhlal doğrulandıktan sonra ekibi, kompromize edilen bağımlılığı kaldırdığını, açığın kapatıldığını ve etkilenen pUSD sahiplerine tam geri ödeme yapılacağını açıkladı. Bu, başlı başına doğru bir yaklaşımdır: Kaybı kabul etmek, açığı kapatmak, kullanıcıyı telafi etmek. Sorun, sıralamada. Geri ödeme sözü açıklandıktan sonra toplam zarar 2,9 milyon dolardan 3,1 milyon dolara yükseldi. Bu tür bir artış, verilen güvenceyi erken ve eksik gösterir.
Bir ticaret platformunda güven, ekibin vaatleriyle gerçekler arasındaki boşlukta inşa edilir. Şirket, zararı karşılayacağını taahhüt ettikten sonra zarar büyürse, kullanıcılar doğal olarak şu soruyu sorar: 3,1 milyon dolar nihai rakam mı, yoksa daha da artacak mı? Bu belirsizlik, bizzat kayıp tutarından daha fazla itibar zedeler; çünkü para geri kazanılabilir, şüphe ise kalıcıdır.
İkinci bir etkiden bahsetmek gerekir. Polymarket, gerçek dünya sonuçlarını gerçek para ile tahmin edebileceğiniz bir platform olarak kendini tanıtır ve tüm vaat, fonlarınızın etkinlik sonuçlanana kadar güvende olduğu fikrine dayanır. Güven tazeleyen açıklamanın hemen ardından kullanıcıları doğrudan etkileyen bir boşaltma, bu vaadi temelden sarsar.
Polymarket’in Son Güvenlik ve Düzenleyici Sorunları
Bu, tekil bir olay değildi. 22 Mayıs 2026'da, zincir üstü araştırmacılar CoinDesk tarafından da ele alınan, Polymarket’in Polygon’daki ödül ödemelerinde kullanılan iç operasyon cüzdanlarından yaklaşık 520.000 – 700.000 dolar arası bir bakiyenin boşaltıldığı ayrı bir olayı duyurdu. Saldırı, altı yıl boyunca aktif kalan bir özel anahtardan kaynaklandı. O vakit kullanıcı fonları etkilenmedi ve ekip bakiyelerin güvende olduğunu bildirdi. Ancak iki ayda iki ihlal tesadüf değil, bir desenin göstergesidir. Mayıs vakasında çalışan altyapısı, Haziran vakasında ise kullanıcılar hedef alındı. Farklı saldırı yüzeyleri, ancak aynı rahatsız edici sonuç: Ne kadar çok kapı açık bırakılmış?
Güvenlik sorunları, artan düzenleyici inceleme sırasında meydana geldi. Emtia Vadeli İşlemler Ticaret Komisyonu (CFTC), ücretli sosyal medya içerik üreticilerinin sahte işlemler ve abartılı kazançlar paylaştığı bir tanıtım kampanyası etrafında Polymarket’in pazarlama uygulamalarını soruşturmaya başladı. Haziran 2026'da incelenen raporlara göre, 1.100’den fazla bu tarz video sahte bahis içeriyordu. Senatörler John Curtis ve Adam Schiff, CFTC’ye açıklama talep eden bir mektup gönderdi; yanıt tarihi olarak 10 Temmuz 2026 belirlendi.
Kronolojik özet aşağıda:
| Tarih | Olay | Etkilenen |
|---|---|---|
| 22 Mayıs 2026 | 6 yıllık özel anahtar ile iç ödeme cüzdanı boşaltıldı | İç operasyonlar |
| 20 Haziran 2026 | Yanıltıcı tanıtım videoları raporlandı | İtibar, denetleyici |
| 25 Haziran 2026 | Ön yüz tedarik zinciri saldırısı ile kullanıcı cüzdanı boşaldı | Kullanıcılar |
| 26 Haziran 2026 | Etkilenen pUSD sahiplerine geri ödeme sözü verildi | Etkilenen kullanıcılar |
| Birkaç gün sonra | Kayıp rakamı 3,1 milyon dolara revize edildi | Etkilenen kullanıcılar |
| 10 Temmuz 2026 | Pazarlama soruşturmasında CFTC yanıt tarihi | Platform, denetleyiciler |
Etkilenen Kullanıcılar Ne Bekleyebilir?
Boşaltılan on bir cüzdan için geçerli söz, pUSD cinsinden tam geri ödemedir. Polymarket, etkilenen sahipleri tamamen telafi edeceğini ve saldırıyı mümkün kılan üçüncü taraf bağımlılığını kaldırdığını açıkladı. Eğer pUSD tuttuysanız ve zararlı prompt ile etkileşime girmediyseniz, fonlarınız etkilenmedi. Saldırı, bir imza gerektirdiğinden, zararlı işlemi onaylamayan cüzdanlar etkilenmedi.
Çalınan fonların geri alınması ise farklı ve daha yavaş bir süreçtir. Son takiplere göre, konsolide 1.893 ETH hâlâ saldırganın Ethereum adreslerinde durmakta; bu da araştırmacılar ve borsa uyum ekipleri için zincir üstü izleme imkanı sağlar. Hareket ederse, dondurulma veya iade ihtimali, saldırganın nereye taşıyacağına bağlıdır.
Diğer tüm kullanıcılar için pratik çıkarım şudur: Her imza isteğini bir formalite olarak değil, gerçek bir karar olarak ele alın. Cüzdanınızın sizden neyi onaylamanızı istediğini dikkatlice okuyun. Zarara uğrayan kullanıcılar bariz bir dikkatsizlik yapmamıştı; güvenilen arayüz yanılttı. Bu nedenle, ders yalnızca bu platformla sınırlı değildir.
Tahmin Piyasaları ve DeFi İçin Saklama ve Güvenlik Dersleri
Bu saldırının rahatsız edici gerçeği, akıllı sözleşmelerin sorunsuz çalışmış olmasıdır. Kripto dünyasında güvenlik tartışmaları genelde sözleşme denetimleri ve zincir üstü açıklar üzerine odaklansa da, gerçek kayıpların giderek artan bir kısmı, sözleşmelerin çevresindeki katmanlardan kaynaklanıyor. Polymarket vakası, son DeFi saldırıları ve köprü açıkları gibi, başarısızlık noktalarının sistemler arası geçişlerde olduğunu gösteren tipik bir örnektir.
Bu tür olaylarda geçerli bazı ilkeler:
- Ön yüz riski gerçek saklama riskidir. Mükemmel denetlenmiş bir sözleşme dahi, arayüz sitesi manipüle edilmişse sizi koruyamaz. Paranın hareketini, sözleşmenin kodu değil, sizin onayladığınız imza belirler.
- Üçüncü taraf bağımlılıklar saldırı yüzeyidir. Hiç duymadığınız bir tedarikçi, görmediğiniz bir betiği sunabilir ve bu bir saldırı kapısı olur. Tedarik zinciri saldırıları, zincirin en zayıf halkasını hedef alır.
- Her platformda sıcak saklama, kolaylık karşılığında risk getirir. Web uygulaması ile etkileşimde olan bir cüzdandaki varlıklar, uygulamanın en zayıf bağımlılığı kadar güvendedir.
- İmza hijyeni, kullanıcının son savunma hattıdır. Sözleşme adresini, tokenı ve miktarı kontrol edin. Zararlı yazılım, sizin promptu okumamanıza güvenir.
- Geri ödeme sözü, fonların geri alınması ile aynı değildir. Telafi zararı karşılar; ihlali ortadan kaldırmaz ve ileriye dönük zararın artmayacağını garanti etmez.
Bu durum, yalnızca tahmin piyasalarına özgü değildir; bir cüzdanı bir web sitesine bağlayıp işlem onayladığınız her platformda geçerlidir. Bahis platformu olup olmaması, hırsızlık mekanizmasını değiştirmez.
Sıkça Sorulan Sorular
Polymarket güvenli mi?
Bu olayda Polymarket'in akıllı sözleşmeleri ihlal edilmedi, ancak platform beş hafta içinde biri iç cüzdanları, diğeri doğrudan kullanıcıları etkileyen iki güvenlik vakası yaşadı. Ekip, zararlı bağımlılığı kaldırdı ve geri ödeme sözü verdi, fakat arka arkaya yaşanan vakalar, platformda tutulan bakiyeleri gözden geçirmenizi ve her imza isteğini dikkatli incelemenizi gerektirir.
Polymarket’te ne oldu?
25 Haziran 2026'da, saldırganlar ön yüz kodu sağlayan üçüncü taraf bir tedarikçiyi kompromize ederek Polymarket’in sitesine zararlı bir betik yerleştirdi ve on bir kullanıcı cüzdanından yaklaşık 3,1 milyon dolar pUSD boşalttı. Fonlar yaklaşık 1.893 ETH’ye çevrildi ve Ethereum’da saldırgan adreslerinde takip edilmeye başlandı.
Polymarket kullanıcılarına geri ödeme yapacak mı?
Polymarket, etkilenen pUSD sahiplerine tam geri ödeme sözü verdi ve saldırıyı mümkün kılan bağımlılığı kaldırdığını açıkladı. Geri ödeme, boşaltılan on bir cüzdanı kapsıyor; çalınan zincir üstü fonların kurtarılması ise saldırganın ETH’yi hareket ettirip ettirmeyeceğine bağlı, ayrı bir süreçtir.
Sözleşmeler ihlal edilmediyse Polymarket saldırısı nasıl oldu?
Saldırı, blokzincir katmanını değil, web sitesi katmanını hedef aldı. İhlal edilen bir tedarikçi, ön yüze zararlı betik ekledi ve bu betik, kullanıcıları fonların boşaltılmasını yetkilendiren işlemleri imzalamaya yönlendirdi. Bu yüzden, Polymarket’in tahmin piyasası sözleşmeleri doğru çalışsa da fonlar cüzdanlardan çıkabildi.
Sonuç
Polymarket ihlali, ön yüz ve tedarik zinciri kaynaklı olup kullanıcıların yaklaşık 3,1 milyon dolar kaybetmesine neden oldu. En büyük zarar, rakamın kendisinden çok, olay sıralamasından kaynaklandı: Önce geri ödeme sözü, sonra zararın yukarı revizesi, ardından Mayıs ayında yaşanan farklı bir olay ve devam eden CFTC soruşturması. Buradan üç noktayı takip edin: 3,1 milyon dolar kalıcı mı, konsolide ETH hareket edecek mi ve platformun bir sonraki duyurusu yeni bir olayı mı gösterecek. Ders şu: Bir cüzdanla işlem onayladığınız her platformda gerçek risk, sadece sözleşmeden değil, web sitesi ve bağımlılıklarından gelir. Tamamen kontrol edebileceğiniz tek savunma ise onayladığınız işlemi okumaktır. Şüphe durumunda, web uygulamasıyla etkileşime giren cüzdanda düşük bakiye tutun ve Bitcoin gibi varlıklar için kendi kendine saklamayı öğrenin.
Bu makale yalnızca bilgilendirme amaçlıdır ve finansal, yatırım tavsiyesi niteliğinde değildir. Kripto para ticareti yüksek risk içerir. Yatırım kararı vermeden önce kendi araştırmanızı yapınız.
