Polymarket’in ön yüzüne yönelik bir oltalama saldırısı, merkeziyetsiz finansta en ısrarcı güvenlik açıklarından birini ortaya çıkardı: tedarik zinciri. Saldırganların milyonları boşaltmak için bir protokolün akıllı sözleşmelerini kırmasına gerek olmadığında, popüler bir platformun kodunun arka planında sessizce oturan üçüncü taraf bir satıcıyı ele geçirmeleri yeterlidir.
Summary
Öne çıkanlar
- Ele geçirilmiş bir üçüncü taraf satıcı, Polymarket’in ön yüzüne kötü amaçlı kod enjekte ederek en az 11 kullanıcı cüzdanından yaklaşık 2,94 milyon $ çalan bir oltalama saldırısını mümkün kıldı.
- Polymarket kötü amaçlı bağımlılığı kaldırdı, ihlali sınırladı ve etkilenen tüm kullanıcıları tamamen geri ödemeyi taahhüt etti.
- Blok zinciri analisti Specter, çalınan PUSD’nin ETH ile takas edilip tek bir adreste konsolide edildiğini doğruladı.
- DefiLlama, olayı 2026 2. çeyreğindeki 89. kripto güvenlik ihlali olarak kaydetti; bu, kayıtlarındaki en yüksek üç aylık olay sayısıdır.
- DefiLlama’ya göre Haziran 2026’da 29 istismar boyunca 74,9 milyon $ kayıp yaşandı.
Polymarket Ön Yüz Oltalama Saldırısının Ayrıntıları
Polymarket oltalama saldırısı, platformun akıllı sözleşmelerindeki veya temel altyapısındaki bir kusurdan yararlanmadı. Bunun yerine saldırganlar yan kapıdan girdi — ele geçirilmiş erişimi onlara kötü amaçlı bir betiği doğrudan Polymarket’in ön yüz arayüzüne enjekte etme imkânı veren üçüncü taraf bir satıcı üzerinden.
Bu ayrım önemlidir. Normal Polymarket arayüzü gibi görünen bir arayüzle etkileşime giren kullanıcılar, bağlı cüzdanlarından fon çalmak üzere tasarlanmış koda farkında olmadan maruz kaldı. Saldırı vektörü sessiz, görünmez ve etkiliydi.
Üçüncü Taraf Satıcı Üzerinden Kötü Amaçlı Kod Enjeksiyonu
Polymarket, X üzerinde yaptığı açıklamada, üçüncü taraf bir satıcının ele geçirildiğini ve bazı kullanıcılar için platformun ön yüzüne kötü amaçlı bir betik göndermek amacıyla kullanıldığını doğruladı. Platform, süreci açıkça şöyle tanımladı: keşfet, sınırla, kaldır, geri öde.
“Bu sabah, 3. taraf bir satıcının ele geçirildiğini ve bazı kullanıcılar için ön yüzümüze kötü amaçlı bir betik enjekte ettiğini keşfettik. Bunu sınırladık ve etkilenen bağımlılığı kaldırdık. Etkilenen kullanıcılarla iletişime geçiyor ve onları tamamen geri ödüyoruz,” Polymarket Traders 25 Haziran 2026’da paylaştı.
Blok zinciri analisti Specter, olayı doğrudan bir protokol istismarı yerine bir oltalama kampanyası olarak sınıflandırdı. Enjekte edilen betik, kullanıcıların ele geçirilmiş arayüzle etkileşime girmesini bekliyor ve ardından bağlı cüzdanlardan fonları sifonlamak için etkinleşiyordu.
Saldırının Etkisi ve Etkilenen Cüzdanlar
Specter, en az 11 kurban cüzdanından yaklaşık 2,94 milyon $ boşaltıldığını tahmin etti. PUSD olarak tutulan çalıntı varlıklar ETH ile takas edildi ve tek bir konsolide adrese aktarıldı — bu, bir DeFi hırsızlığını takip eden hızlı aklama girişimleriyle tutarlı bir modeldir.
Kayıpların ölçeği, ön yüz seviyesindeki saldırıların ne kadar etkili olabileceğinin altını çiziyor. Nispeten az sayıda cüzdan ele geçirilmiş olsa bile, dolar bazında etki neredeyse üç milyon dolara ulaştı; bu da bazı kullanıcıların tahmin piyasası platformunda tuttukları pozisyonların büyüklüğünü yansıtıyor.
Platformun Tepkisi ve Kullanıcıların Tazmini
İhlal tespit edilir edilmez Polymarket hızlı hareket etti. Kötü amaçlı bağımlılık kaldırıldı, olay sınırlandı ve platform etkilenen her kullanıcıyı tamamen tazmin etmeyi taahhüt etti.
Olayın Sınırlandırılması ve Kötü Amaçlı Bağımlılığın Kaldırılması
Tepki, net ve şeffaf bir sırayı izledi: ele geçirilmiş bileşeni izole et, platformdan çıkar ve kamuya açık şekilde iletişim kur. Polymarket, kullanıcıların kendilerini tespit etmesini beklemek yerine, etkilenen kullanıcılarla doğrudan iletişime geçtiğini doğruladı.
Bu yaklaşım — proaktif iletişim ve tam geri ödeme taahhüdünün birleşimi — DeFi platformlarının giderek daha fazla şunu anladığını yansıtıyor: bir kez kırıldığında kullanıcı güvenini yeniden inşa etmek, kaybedilen dolar tutarını telafi etmekten çok daha zordur.
Etkilenen Kullanıcılar İçin Tam Geri Ödeme Taahhüdü
Etkilenen tüm kullanıcılar için tam geri ödeme sözü önemlidir. Bu geri ödemelerin kesin zamanlaması ve dağıtım mekanizması belirtilmemiş olsa da, kamuya açık taahhüt Polymarket’in itibarını doğrudan ortaya koyuyor. Kullanıcı katılımı ve likiditeye dayanan bir tahmin piyasası platformu için bu hesap verebilirlik hem finansal hem de stratejiktir.
İhlalin Kripto Para Güvenliği Bağlamına Oturtulması
Polymarket olayı tek başına gerçekleşmedi. Zaten kripto güvenlik başarısızlıkları açısından istenmeyen rekorlar kıran bir çeyreğin içine denk geldi.
DefiLlama, 2026 2. Çeyreğinde Rekor Kripto Güvenlik İhlalleri Bildiriyor
DefiLlama, Polymarket ihlalini 2026 2. çeyreğinin 89. kripto güvenlik olayı olarak kaydetti — bu da onu analiz platformunun şimdiye kadar izlediği en yüksek üç aylık olay sayısı yapıyor. Bu rakam tek başına sistemik bir soruna işaret ediyor. Daha fazla saldırı, daha sık ve daha geniş bir platform ve vektör yelpazesinde.
DefiLlama’ya göre, son 30 gündeki istismar kayıplarının %43’ü özel anahtarların ele geçirilmesinden kaynaklandı. Sahte kanıt istismarları kayıpların %10’unu, ters MEV bal tuzakları ise %8’ini oluşturdu. Özel anahtar veya protokol kusuru yerine ön yüz tedarik zinciri ihlaline dayanan Polymarket saldırısı, geleneksel vektörler etrafındaki savunmalar geliştikçe saldırganların yöntemlerini çeşitlendirdiğini gösteriyor.
Haziran 2026 İstismarları ve Kayıplarına Genel Bakış
DefiLlama, yalnızca Haziran 2026’da 29 kripto istismarından 74,9 milyon $ kayıp bildirildiğini açıkladı. Bu rakam Mayıs ayındaki 60,5 milyon $’ı aştı ancak yılın en büyük bireysel DeFi hırsızlıklarından bazılarını içeren Nisan ayındaki 644 milyon $’ın oldukça altında kaldı.
Haziran ayının en büyük tek olayı, Humanity Protocol’ü hedef alan 36 milyon $’lık bir istismardı. Diğer dikkat çekici saldırılar arasında Secret Network köprüsüne yönelik 4,7 milyon $’lık bir istismar, Aztec’i etkileyen iki ayrı 2,1 milyon $’lık istismar ve Taiko’da 1,7 milyon $’lık bir köprü istismarı yer aldı. Bu tabloya karşılık, Polymarket’in 2,94 milyon $’lık kaybı, dolar değeri açısından Haziran ayı olaylarının orta katmanında yer alıyor — ancak yöntemi ve bağlamı onu özellikle öğretici kılıyor.
Polymarket’teki Önceki Güvenlik Olayı
Haziran ayındaki ön yüz saldırısı, bu çeyrekte Polymarket’in ilk güvenlik manşeti değildi. Yaklaşık bir ay önce, platform çok daha eski bir güvenlik açığını içeren ayrı bir ihlali açıklamıştı.
Altı Yıllık Özel Anahtarın Ele Geçirilmesi Sonucu 600.000 $ Kayıp
Saldırganlar, dahili bir bakiye tamamlama operasyon cüzdanına bağlı altı yıllık bir özel anahtardan yararlanarak yaklaşık 600.000 $ çaldı. Güvenlik araştırmacıları ZachXBT, PeckShield ve Bubblemaps, ilk olarak Polygon üzerindeki Polymarket’in UMA CTF Adapter sözleşmesini içeren şüpheli faaliyetleri işaretledi. Bubblemaps, saldırganların toplam kayıpların yaklaşık 600.000 $ olarak tahmin edilmesinden önce her 30 saniyede bir 5.000 POL çektiğini belirtti.
Olayın Temel Nedeni ve Platform Güvenliği Hakkında Açıklama
Polymarket protokolü katkıcısı Shantikiran Chanal daha sonra, önceki olayın platformun sözleşmelerinde veya temel altyapısında herhangi bir kusurdan değil, yalnızca dahili operasyonlar için kullanılan ele geçirilmiş bir cüzdandan kaynaklandığını açıkladı. Mühendislik başkan yardımcısı Josh Stevens, kullanıcı fonlarının ve akıllı sözleşmelerin süreç boyunca güvende kaldığını ve ele geçirilen anahtarla bağlantılı tüm izinlerin iptal edildiğini doğruladı.
Bir ay arayla, tamamen farklı saldırı vektörleri kullanan iki ayrı olay — biri unutulmuş bir özel anahtar, diğeri ele geçirilmiş bir tedarik zinciri satıcısı — hızlı büyümeyi eski güvenlik borcuyla birlikte yöneten bir platform için zorlu bir tablo çiziyor. Özellikle ön yüz oltalama saldırısı, birçok DeFi platformunun paylaştığı ancak çok azının tam olarak sertleştirdiği bir risk kategorisini vurguluyor: arayüzlerinde çalışan üçüncü taraf koda duyulan zımni güven.
SSS
Polymarket oltalama saldırısı nasıl gerçekleşti?
Saldırganlar üçüncü taraf bir satıcıyı ele geçirerek Polymarket’in ön yüz arayüzüne kötü amaçlı kod enjekte etti. Kullanıcılar ele geçirilmiş arayüzle etkileşime girdiğinde, betik etkinleşti ve fonları doğrudan bağlı cüzdanlarından çaldı.
Polymarket oltalama saldırısında ne kadar para çalındı ve kaç kullanıcı etkilendi?
Yaklaşık 2,94 milyon $ en az 11 kullanıcı cüzdanından çalındı. Çalınan PUSD, ETH ile takas edilerek blok zinciri analisti Specter tarafından tespit edilen tek bir cüzdan adresinde konsolide edildi.
Polymarket oltalama saldırısına nasıl yanıt verdi?
Polymarket kötü amaçlı bağımlılığı kaldırdı, olayı sınırladı ve etkilenen tüm kullanıcıları tamamen geri ödemeyi taahhüt etti. Platform ayrıca etkilenen kullanıcılarla doğrudan iletişime geçtiğini belirtti.
Bu saldırının kripto güvenlik trendleri içindeki daha geniş bağlamı nedir?
Saldırı, DefiLlama tarafından 2026 2. çeyreğinin 89. kripto güvenlik ihlali olarak kaydedildi ve bu da onu kayıtlardaki en yüksek üç aylık olay sayısı yaptı. Yalnızca Haziran 2026’da 29 istismar boyunca 74,9 milyon $ kayıp yaşandı; son istismar kayıplarının %43’ü özel anahtarların ele geçirilmesinden kaynaklandı.
{“@context”:”https://schema.org”,”@type”:”FAQPage”,”mainEntity”:[{“@type”:”Question”,”name”:”Polymarket oltalama saldırısı nasıl gerçekleşti?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”Saldırganlar üçüncü taraf bir satıcıyı ele geçirerek Polymarket’in ön yüz arayüzüne kötü amaçlı kod enjekte etti. Kullanıcılar ele geçirilmiş arayüzle etkileşime girdiğinde, betik etkinleşti ve fonları doğrudan bağlı cüzdanlarından çaldı.”}},{“@type”:”Question”,”name”:”Polymarket oltalama saldırısında ne kadar para çalındı ve kaç kullanıcı etkilendi?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”Yaklaşık 2,94 milyon $ en az 11 kullanıcı cüzdanından çalındı. Çalınan PUSD, ETH ile takas edilerek blok zinciri analisti Specter tarafından tespit edilen tek bir cüzdan adresinde konsolide edildi.”}},{“@type”:”Question”,”name”:”Polymarket oltalama saldırısında ne kadar para çalındı ve kaç kullanıcı etkilendi?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”Polymarket kötü amaçlı bağımlılığı kaldırdı, olayı sınırladı ve etkilenen tüm kullanıcıları tamamen geri ödemeyi taahhüt etti. Platform ayrıca etkilenen kullanıcılarla doğrudan iletişime geçtiğini belirtti.”}},{“@type”:”Question”,”name”:”Bu saldırının kripto güvenlik trendleri içindeki daha geniş bağlamı nedir?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”Saldırı, DefiLlama tarafından 2026 2. çeyreğinin 89. kripto güvenlik ihlali olarak kaydedildi ve bu da onu kayıtlardaki en yüksek üç aylık olay sayısı yaptı. Yalnızca Haziran 2026’da 29 istismar boyunca 74,9 milyon $ kayıp yaşandı; son istismar kayıplarının %43’ü özel anahtarların ele geçirilmesinden kaynaklandı.”}}]}
Makale, yapay zekâ desteğiyle hazırlanmış ve editör ekibi tarafından gözden geçirilmiştir.
