Polymarket İç Cüzdan Hack’ini Doğruladı – Kullanıcı Fonları Güvende

14 Haziran 2026’da Polymarket, tahmin pazarı topluluğunda dalgalara neden olan bir iç cüzdan hack’ini doğruladı. İlk olarak on-chain analiz firması Bubblemaps tarafından tespit edilen ihlal, platformun ödül sistemine bağlı bir operasyonel cüzdandan şüpheli otomatik transferler içermekteydi. Polymarket, kullanıcı fonlarının güvende olduğunu hızlı bir şekilde açıklayarak, olayı platformun temel akıllı sözleşmelerindeki bir hata yerine özel bir anahtarın ele geçirilmesine atfetti. Bu ayrım son derece önemlidir: bir akıllı sözleşme açığı, platformdaki her doları tehdit ederken, ele geçirilen bir operasyonel cüzdan, ciddi olmasına rağmen sınırlı bir sorunu temsil etmektedir. Merkeziyetsiz finans platformu siber güvenlik tehditlerinin gerçek zamanlı olarak nasıl evrildiğini izleyen herkes için, bu olay modern tahmin pazarlarının güvenlik hatalarıyla nasıl başa çıktığına dair faydalı bir vaka çalışması sunuyor; neyin doğru gittiği ve neyin hala düzeltilmesi gerektiği.

Keşif: Bubblemaps Uyarıları ve Otomatik Çıkışlar

İlk kamu sinyali Polymarket’ten değil, çoklu ağlar arasında cüzdan kümelerini ve token akışlarını izleyen on-chain görselleştirme aracı Bubblemaps’ten geldi. Otomatik uyarı sistemi, Polygon ağındaki bilinen bir Polymarket ile ilişkili adresten çıkan akışların bir desenini tespit etti ve bu durum, daha geniş kripto güvenlik topluluğundan hemen inceleme başlattı.

Saatler içinde bağımsız araştırmacılar bu bulguyu doğruladı. Söz konusu cüzdan, her biri belirli aralıklarla sabit bir miktar POL token’ı taşıyan bir dizi aynı işlemle sistematik olarak boşaltılmıştı. Transferlerin mekanik hassasiyeti, bir insan operatörünün fonları bu kadar katı ve tekrarlayıcı bir şekilde hareket ettirmeyeceğinin açık bir göstergesiydi.

Desen Tanıma: Tekrar Eden 5,000 POL Transferleri

Saldırgan, birkaç saat boyunca yaklaşık her 12 dakikada bir tam olarak 5,000 POL transferi gerçekleştirdi. Bu tür bir damla damla çekim, yaygın bir taktiktir. Saldırgan, bir cüzdanı tek büyük bir işlemle boşaltmak yerine, uyarıları hemen tetikleyebilecek ve muhtemelen önceden engellenebilecek şekilde, hırsızlığı onlarca daha küçük işlemle yaymayı tercih etti.

Bubblemaps alarmı yükselttiğinde, yaklaşık 230,000 POL (o sırada yaklaşık 115,000 dolar değerinde) cüzdandan çıkmıştı. Miktarların ve zamanlamanın tutarlılığı, çıkarımı gerçekleştiren bir script veya botun olduğunu güçlü bir şekilde öne sürdü, manuel çekimlerin değil.

Saldırgan Adresinin Polygon Ağında İzlenmesi

On-chain araştırmacılar, alıcı adresini hızla izledi. Saldırganın adresinin olaydan önce herhangi bir işlem geçmişi yoktu; bu, istismarlar için kullanılan yeni oluşturulmuş cüzdanların tipik bir özelliğidir. Polygon’un şeffaflığı, her adımın kamuya açık bir şekilde görünmesini sağladı, ancak çekim hızı ve sonrasındaki belirsizlik, gerçek zamanlı müdahaleyi zorlaştırdı. Chainalysis ve Arkham Intelligence gibi blokzincir adli bilimleri firmaları, 24 saat içinde ilişkili adresleri etiketlemeye başladı.

Polymarket Resmi Açıklaması: İç Cüzdanın Ele Geçirilmesi

Polymarket’in yanıtı, Bubblemaps uyarısından yaklaşık altı saat sonra geldi. Platform, ihlali doğrulayan ve ilk detayları sağlayan bir açıklama yayınladı. Açıklamada, hiçbir kullanıcı bakiyesi, piyasa pozisyonu veya çözüm mekanizmasının etkilenmediği açıkça belirtildi. Polymarket, olayı “bir iç operasyonel cüzdanın özel anahtarının ele geçirilmesi” olarak tanımlayarak, bu ihlal ile platformun mimarisindeki herhangi bir sistemik zayıflık arasında net bir ayrım yaptı.

Özel Anahtar Sızıntısı vs. Akıllı Sözleşme Açığı

Bu ayrım kritik öneme sahiptir ve net bir şekilde anlaşılması gerekir. Bir akıllı sözleşme açığı, platformun temel işlevlerini (yatırımlar, çekimler, piyasa oluşturma, çözüm) yöneten kodda bir hatanın olduğu anlamına gelir; bu hata bir saldırgan tarafından istismar edilebilir. Bu tür bir hata, tüm protokolleri boşaltabilir. Bunu 2023’teki Euler Finance hack’inde ve 2022’deki Mango Markets istismarında gördük.

Özel anahtarın ele geçirilmesi ise temelde farklıdır. Bu, birinin belirli bir cüzdanı kontrol eden kriptografik anahtara erişim sağladığı anlamına gelir. Platformun akıllı sözleşmeleri tam olarak tasarlandığı gibi çalışıyordu; sorun, yetkisiz bir tarafın belirli bir adrese erişim sağlamasıydı. Bunu, bir bankanın müdürünün ofis anahtarını çalmak ile kasanın kilit mekanizmasında bir hata bulmak olarak düşünebilirsiniz. Her ikisi de kötü, ancak patlama alanı büyük ölçüde farklıdır.

Polymarket’in en son akıllı sözleşme denetimi, 2026’nın başlarında Trail of Bits tarafından gerçekleştirildi ve kritik bir zayıflık bulamadı. Bu Polymarket akıllı sözleşme denetim sonuçları, kullanıcı fonlarını gerçekten yöneten kodun bütünlüğünü doğruladığı için burada önemlidir.

Operasyonel Cüzdanın Ödül Dağıtımındaki Rolü

Ele geçirilen cüzdan, belirli bir işlevi yerine getiriyordu: likidite madenciliği ödüllerini ve aktif ticaretçilere yönelik promosyon teşviklerini dağıtmak. Bu cüzdan, bu programlar için ayrılmış POL token’larını tutuyordu, piyasa pozisyonları için kullanılan USDC veya diğer stablecoin’leri değil.

Bu cüzdan, özel anahtarının otomatik ve sık işlemlere izin verecek şekilde saklandığı bir sıcak cüzdan olarak çalışıyordu. Sıcak cüzdan ile soğuk depolama arasındaki güvenlik ticaret dengeleri sektörde iyi anlaşılmaktadır: sıcak cüzdanlar hız ve otomasyon sağlarken, anahtarları çevrimiçi sistemlere erişilebilir olduğu için daha yüksek risk taşır. Soğuk depolama çok daha güvenlidir ancak yüksek frekanslı, otomatik ödemeler için pratik değildir. Bu cüzdanın tasarımının operasyonel gerekliliği, onu savunmasız hale getiren tam da buydu.

Etkilerin Değerlendirilmesi ve Kullanıcı Güvenliğinin Teminatı

Bu olaydan kaynaklanan finansal zarar nispeten sınırlıydı. Çalınan yaklaşık 115,000 dolar değerindeki POL, ihlal sırasında Polymarket’in toplam kilitli değerinin 480 milyon doları aştığı göz önüne alındığında, küçük bir kısmını temsil ediyor. Platformun günlük işlem hacmi etkilenmedi ve hiçbir piyasa durdurulmadı veya kesintiye uğramadı.

Polymarket’in mimarisi, zararı sınırlamada önemli bir rol oynadı. Platform, operasyonel cüzdanları kullanıcı yatırımlarını tutan ve piyasa sonuçlarını yöneten akıllı sözleşme altyapısından ayırmaktadır. Bu bölümlendirme, kasıtlı bir tasarım seçeneğidir ve burada işe yaradı.

Kullanıcı Yatırımlarının ve Piyasa Çözümlerinin İzolasyonu

Polymarket’teki kullanıcı fonları, Polygon üzerindeki akıllı sözleşmeler içinde tutulmakta ve protokolün kodu tarafından kontrol edilmektedir; tek bir özel anahtar tarafından değil. Yatırımlar, çekimler ve piyasa çözümleri bu sözleşmeler aracılığıyla gerçekleştirilir. Ele geçirilen operasyonel cüzdanın bu işlevler üzerinde hiçbir yetkisi yoktu.

Bu ayrım, olgun DeFi protokollerinin giderek daha fazla benimsediği bir ilkeye dayanmaktadır: geniş izinlere sahip cüzdan sayısını en aza indirmek. Operasyonel cüzdan yalnızca ödüller için POL gönderebilir; kullanıcı bakiyeleriyle etkileşime geçemez, piyasa parametrelerini değiştiremez veya çözümleri tetikleyemez. Saldırgan piyasalara müdahale etmek istese bile, bu cüzdanın bunu yapacak izinleri yoktu.

Platform Operasyonları ve Likidite Durumu

Yazının yazıldığı sırada Polymarket tamamen faaliyette. Ödül dağıtımları, ekip anahtarları değiştirdiği ve bir yedek cüzdan dağıttığı için geçici olarak durduruldu. Platform, kullanıcılara borçlu olunan ödüllerin ayrı bir hazine tahsisatından karşılanacağını doğruladı.

ABD siyasi tahmin pazarları ve küresel etkinlik sözleşmeleri dahil olmak üzere büyük piyasalardaki likidite stabil kalmaya devam etti. İfşadan sonraki 48 saatte önemli bir çekim artışı yaşanmadı; bu, topluluğun büyük ölçüde Polymarket’in açıklamasını ve ihlalin sınırlı doğasını kabul ettiğini göstermektedir.

Merkeziyetsiz Tahmin Pazarları için Güvenlik Sonuçları

Bu hack, tahmin pazarlarının ve genel olarak DeFi platformlarının merkeziyetsizlik ile operasyonel kolaylık arasındaki gerilimi nasıl yönettiği hakkında daha geniş sorular ortaya çıkarıyor. Polymarket, çekirdek piyasa mekanizmalarının akıllı sözleşmeler üzerinde çalıştığı ancak çeşitli destekleyici işlevlerin (ödüller, analiz, müşteri desteği) daha geleneksel, merkezi bir altyapıya dayandığı bir hibrit olarak faaliyet göstermektedir.

Bu hibrit model, 2026’da DeFi’de yaygındır. Tamamen merkeziyetsiz operasyonlar, ana akım kullanıcıları çekmek, Avrupa’daki MiCA gibi düzenlemelere uymak ve rekabetçi kullanıcı deneyimlerini sürdürmek zorunda olan platformlar için pratik değildir. Ticaret, merkezi bileşenlerin merkezi hata noktaları eklemesiyle sonuçlanır.

Merkezi Operasyonel Cüzdanların Riskleri

Tek bir özel anahtar tarafından kontrol edilen herhangi bir cüzdan bir hedefdir. Kullanıcıya yönelik akıllı sözleşmeleri yöneten tahmin pazarı güvenlik protokolleri, ekip bunları açıkça tasarlamadıkça bu operasyonel cüzdanlara uzanmaz. Yaygın saldırı vektörleri şunlardır:

• Anahtarların saklandığı geliştirici makineleri veya bulut ortamlarının ele geçirilmesi
• Cüzdan erişimi olan ekip üyelerini hedef alan kimlik avı saldırıları
• Mevcut veya eski çalışanlardan gelen iç tehditler
• Anahtar yönetim yazılımına yönelik tedarik zinciri saldırıları

Polymarket olayı henüz belirli bir vektöre atfedilmemiştir; ancak platform, dış güvenlik firmalarının yardımıyla bir soruşturmanın sürdüğünü belirtmiştir.

Sıcak Cüzdan Maruziyetini Azaltmak için En İyi Uygulamalar

Sıcak cüzdanların ele geçirilme riskini ve etkisini azaltabilecek birkaç uygulama vardır:

• Önemli değer taşıyan herhangi bir adres için çoklu imza cüzdanları kullanın, hatta operasyonel olanlar için bile
• Herhangi bir tek işlem veya zaman diliminin hareket ettirebileceği miktarı sınırlayan harcama limitleri uygulayın
• Anahtarları düzenli bir takvimde ve herhangi bir personel değişikliğinden sonra döndürün
• Sıcak cüzdan anahtarlarını yazılım tabanlı çözümler yerine donanım güvenlik modüllerinde saklayın
• Otomatik uyarılarla anormal desenleri tespit etmek için çıkışları gerçek zamanlı olarak izleyin

Polymarket, yedek operasyonel cüzdanı için çoklu imza gereksinimleri ve işlem başına harcama limitleri dahil olmak üzere bu önlemlerden birkaçını benimseyeceğini belirtmiştir.

Sürekli İzleme ve Gelecek İyileştirme Adımları

Polymarket’in bu kripto cüzdan özel anahtarının ele geçirilmesine yanıtı büyük ölçüde şeffaf olmuştur; bu da olumlu bir emsal oluşturur. Platform, anahtar sızıntısının kök nedenini, ayrıntılı bir zaman çizelgesini ve uygulanan spesifik iyileştirme adımlarını içeren tam bir ölüm sonrası raporu yayınlamayı taahhüt etti.

Daha geniş tahmin pazarı ekosisteminin bunu dikkate alması gerekir. Polymarket, Kalshi ve daha yeni katılımcılar pazar payı için rekabet ederken, güvenlik olayları giderek daha fazla kullanıcı güvenini ve düzenleyici algıyı şekillendirecektir. İyi yönetilen bir ihlal, hızlı ifşaat, net iletişim ve gösterilebilir bir sınırlama ile, aslında bir platformun güvenilirliğini artırabilir. Kötü yönetilen bir ihlal, gecikmeler, belirsizlik veya kullanıcı kayıpları ile, ölümcül olabilir.

Kullanıcılar için çıkarım oldukça basittir: fonlarınızın gerçekten nerede olduğunu anlayın. Eğer bunlar, denetimden geçmiş bir kod ile bir akıllı sözleşmede ve tek anahtar yönetimi erişimi olmadan bulunuyorsa, bir kişinin dizüstü bilgisayarına kontrol edilen bir cüzdanda bulunmaktan çok farklı bir risk kategorisindesiniz. Soruyu sorun. Denetim raporlarını okuyun. Ve Bubblemaps gibi on-chain analistlerin bayrak kaldırdığında dikkat edin, çünkü genellikle sorunları platformlardan önce görürler.