Zincir üzerindeki araştırmacı ZachXBT, 22 Mayıs’ta Polymarket’e bağlı bir Polygon adresinden yaklaşık 600.000 doların özel anahtarın tehlikeye girmesi sonucu çekildiğini tespit etti. Saldırgan, anahtarlar döndürülmeden önce her 20-30 saniyede bir yaklaşık 5.000 POL çekti. Polymarket’in mühendislik başkan yardımcısı Josh Stevens, bunun platformun akıllı sözleşmelerine veya müşteri bakiyelerine değil, dahili bir fonlama cüzdanına bağlı altı yıllık bir özel anahtardan kaynaklandığını doğruladı. Bu ayrım önemlidir; çünkü çekim şekli bir sonraki mağduru belirler ve şu anki tehdit modeli, takım yerine bireysel kullanıcıları odakta tutuyor.
Bu, Polymarket protokolündeki bir açık değil. Hesap seviyesinde bir özel anahtar sızıntısıdır ve bu durum, Polygon’daki tüm kişisel cüzdan sahipleri için benzer bir risk oluşturur. Bu nedenle olay dikkatlice analiz edilmelidir.
ZachXBT’nin Tespiti ve On-Chain İzler Ne Gösteriyor?
ZachXBT, 22 Mayıs’ta ilk kamu uyarısında, Polymarket’in UMA optimistik oracle’ı ile piyasa sonuçlandırmak için kullandığı UMA CTF Adapter contract üzerinde bir istismara işaret etti. İlk raporlarda kayıp yaklaşık 520.000 dolar olarak belirtildi, ancak otomatik çekimler devam ettikçe birkaç saat içinde tutar 600.000 doları aştı.
Düzenli aralıklarla yapılan otomatik transferler, olayın bir özel anahtar sızıntısından kaynaklandığını gösteriyor. Saldırgan, adres üzerindeki imzalama yetkisine önceden sahipti ve gelen bakiyeleri hızlıca süpürdü. Bu, bir akıllı sözleşme hatasından çok özel anahtar sızıntısının tipik bir göstergesidir.
Polymarket’in mühendis ekibi, hızlı bir şekilde yaptığı açıklamada, akıllı sözleşmelerin korunmuş olduğunu ve olayın operasyonel bakiyeler için kullanılan bir cüzdanla sınırlı olduğunu belirtti. CoinDesk’in haberi, kullanıcı fonlarının etkilenmediğini doğruladı. CryptoSlate’in devam haberi, sızan anahtarın yaklaşık altı yıllık olduğunu ve Polymarket’in mevcut güvenlik mimarisinden önceye dayandığını ekledi.
ZachXBT, bağımsız bir zincir üstü araştırmacıdır; kolluk kuvveti veya Polymarket çalışanı değildir. Rolü, şüpheli aktiviteleri gerçek zamanlı izlemek ve platform resmi açıklama yapmadan önce kamuoyuna duyurmaktır. Bu hız, araştırmaların "şüpheli" olarak etiketlenmesinin sebebidir; çünkü platformun resmi onayı sonrası kesin bulgular ortaya çıkmaktadır.
Polymarket Hesap Saklama Modeli Nasıl Çalışır?
Birçok kullanıcı Polymarket’i merkezi bir tahmin piyasası gibi düşünse de, gerçekte zincir üstü bir DEX’in arayüze sahip halidir.
Her Polymarket kullanıcısı, Polygon üzerinde kendi dışa açık hesabına (EOA) sahiptir. Bu, MetaMask cüzdanını kontrol eden türdendir. Yatırımlar USDC.e’yi Ethereum veya Polygon adresinden bu EOA’ya taşır. Bahisler, UMA CTF Adapter akıllı sözleşmesine imzalı işlemlerdir. Çekimler de benzer şekilde imzalı işlemlerle yapılır. Polymarket arayüzü imzalama işini otomatikleştirir, fakat temel hesap ve özel anahtar kullanıcıya aittir.
22 Mayıs’taki bu olay, Polygon’da her ay yaşanan birçok küçük çaplı hesap sızıntısıyla yapısal olarak aynıdır. Polymarket’in dahili fonlama cüzdanı, operasyonel POL ve USDC.e tutan bir EOA idi. Özel anahtar sızınca, saldırgan Polymarket’in sahip olduğu tüm yetkilere sahip oldu. Herhangi bir kontrat açığı gerekmiyordu; akıllı sözleşme, imzalı işlemleri yerine getirdi.
Kullanıcılar için bu önemli, çünkü değerli Polymarket pozisyonları aynı tür EOA’da ve aynı anahtarla imzalanır. Polymarket organizasyonunda altı yıllık bir anahtar sızabiliyorsa, kişisel anahtar güvenliğinizin de aynı tehdit modeliyle gözden geçirilmesi gerekir.
Yüksek Değerli Polymarket Kullanıcıları için Self-Custody Sonuçları
Polymarket’te büyük hesaplar zincirde görünür. ABD 2024 seçimlerinde yedi ve sekiz haneli pozisyonlara sahip cüzdanlar halka açıklandı ve bir kısmı halen önemli bakiye tutmakta. Temel zincir analiz araçları ile yüksek değerli EOA’lar kısa sürede tespit edilebilir. Saldırganlar da aynı listeye sahip.
2025 ve 2026 boyunca hedefleme modeli tutarlıydı. Kimlik avı kitleri, Polymarket’in e-posta ve arayüzünü taklit ediyor; sahte tarayıcı eklentileri imzalama taleplerini ele geçiriyor ve gömülü cüzdana bağlı e-posta adresine karşı otomatik denemelerle yeni kurbanlar oluşuyor. Çoğu durumda, çekim tek bir işlem ve tek bir imzadır; kullanıcı farkına varmadan fonlar çekilebilir.
| Hesap türü | Saklama modeli | Gerçekçi tehdit |
|---|---|---|
| Gömülü cüzdan ile Polymarket pozisyonu | Uygulama tarafından yönetilen self-custody EOA | Kimlik avı, zararlı tarayıcı eklentisi, cihaz bulaşması |
| Harici cüzdan (MetaMask) ile Polymarket pozisyonu | Kullanıcı tarafından yönetilen self-custody EOA | Seed phrase sızıntısı, imza izni suistimali, sahte dApp talepleri |
| Polymarket dahili operasyonel cüzdan | Organizasyon tarafından yönetilen EOA | Eski anahtar, içeriden erişim, altyapı sızıntısı (22 Mayıs vakası) |
Gerçek şu ki, Polygon’daki özel anahtarınız sızarsa, Polymarket pozisyonunuz da dahil olmak üzere adresteki tüm tokenler tehlikeye girer. Polymarket tarafından imzalı işlemler geri alınamaz. Polygon ağında FDIC benzeri bir sigorta mevcut değildir. 22 Mayıs olayı sırasında platformun akıllı sözleşmeleri doğru şekilde çalıştı; yani bir saldırgan sizin adresinize karşı aynı şekilde hareket ederse platformun da geri dönüş imkânı yoktur.
Polymarket Hesabınızda Şu Anda Kontrol Etmeniz Gerekenler
Pozisyon büyüklüğü fark etmeksizin, önümüzdeki on dakika içinde üç kontrolü yapmanız faydalı olacaktır.
Gömülü cüzdanınıza bağlı e-posta adresinin benzersiz şifreye ve 2FA’ya sahip olduğunu doğrulayın. 2019’dan kalma tekrar kullanılan bir şifre, Polygon’daki EOA’ların en yaygın zayıf noktasıdır. İlgili güvenlik maddelerini güvenlik kontrol listesi makalesinde bulabilirsiniz.
Polymarket adresinizdeki token onaylarını gözden geçirin. Polygon explorer’da tanımadığınız kontratları kontrol edin ve kimliğini bilmediğiniz izinleri iptal edin. Eski onaylar, çoğu aktif cüzdanda gizli bir saldırı yüzeyi oluşturur.
Kayıp yaşamak istemeyeceğiniz büyüklükteki bakiyeleri bir donanım cüzdanı ile saklayın. Polymarket, gömülü cüzdan yerine harici cüzdan ile de kullanılabilir. Donanım cüzdanı, her imza için fiziksel onay gerektirerek Polymarket’in dahili adresinde yaşanan uzak anahtar sızıntısı türü riskleri önemli ölçüde azaltır.
Birden fazla bin dolarlık pozisyona sahipseniz, gömülü cüzdanı sıcak cüzdan gibi değerlendirin ve büyük meblağları donanım cüzdanı ile yönetin. Bu, spot veya DeFi pozisyonları için önerilen self-custody segregasyonu ile aynıdır.
Sıkça Sorulan Sorular
22 Mayıs Polymarket olayı bir akıllı sözleşme açığı mıydı?
Hayır, bu ayrım genel riskin anlaşılması açısından önemlidir. Polymarket ve ZachXBT, UMA CTF Adapter kontratının beklendiği gibi çalıştığını ve olayın dahili operasyonel cüzdanın özel anahtarı kaynaklı olduğunu açıkladı.
Şu anda Polymarket kullanıcı fonları risk altında mı?
22 Mayıs olayında kullanıcıların kişisel Polymarket hesapları etkilenmedi. Kompromize edilen cüzdan, Polymarket’in dahili bir adresiydi. Her kullanıcının EOA’sı bağımsız güvenlikle korunur ve anahtarın sorumluluğu kullanıcıya aittir.
Saldırganlar genellikle Polymarket hesap fonlarını nasıl çalıyor?
En yaygın yöntemler, Polymarket giriş ekranını taklit eden kimlik avı siteleri, zararlı tarayıcı eklentileri ve ekran görüntüsü, bulut yedeklemesi veya şifre yöneticisi sızıntısından kaynaklanan seed phrase ifşalarıdır. Kişisel hesaplara doğrudan akıllı sözleşme saldırısı nadirdir.
600.000 dolarlık kayıp geri alınabilir mi?
Polymarket, birkaç saat içinde sızan anahtarları döndürdü ve aktif çekim durdu. Çalınan POL ve USDC.e’nin kurtarılması, ancak ilgili cüzdan sahibine karşı yasal işlemle mümkün olabilir; zincir üstü varlıklar platform tarafından geri alınamaz.
Sonuç
Polymarket olayı, Polygon üzerindeki pozisyonlarda en zayıf halkanın protokol değil, özel anahtar olduğunu hatırlatıyor. ZachXBT, 600.000 dolarlık bir dahili cüzdan çekimini tespit etti, Polymarket ise altı yıllık operasyonel bir anahtarın kaynağını doğruladı. Akıllı sözleşmeler, imzalı işlemleri olduğu gibi yürüttü. Aynı risk, tüm kullanıcı hesaplarında mevcut. Bilinmeyen onayları iptal etmek, tekrar kullanılan şifreleri güncellemek ve büyük meblağları donanım cüzdanına taşımak için uygun zamandır. Platform, sızan anahtarı beş saatten kısa sürede değiştirdi; kullanıcı tarafında ise güvenlik sorumluluğu size aittir.
Bu makale yalnızca bilgilendirme amaçlıdır ve yatırım tavsiyesi değildir. Kripto para işlemleri yüksek risk içerir. Lütfen işlem yapmadan önce kendi araştırmanızı yapınız.
