Tahmin piyasası platformu Polymarket, saldırganların üçüncü taraf bir frontend sağlayıcısını ele geçirip 11 kullanıcı cüzdanındaki fonları boşaltmasının ardından 3,1 milyon dolar kaybetti.
Platformun denetimden geçmiş kendi akıllı sözleşmeleri olay boyunca zarar görmedi.
Bir rapora göre, çalınan PUSD tokenleri, bir zincirler arası köprü kullanılarak Polygon’dan (POL) Ethereum’a (ETH) taşındı. Polymarket, ele geçirilen sağlayıcının adını kamuoyuna açıklamadı.
Saldırı Nasıl Gerçekleştirildi?
Frontend sağlayıcı saldırıları, kullanıcıları bir platformun temel sözleşmelerine bağlayan web arayüzünü hedef alır. Fonlar ve kurallar akıllı sözleşmelerde tutulup yönetilse de kullanıcılar, üçüncü taraf yazılım sağlayıcıları tarafından inşa edilen ve sürdürülen tarayıcı tabanlı bir katman üzerinden etkileşim kurar.
Bu olayda saldırganların, tam olarak bu arayüz katmanına zararlı kod enjekte ettiği anlaşılıyor. Saldırı süresi boyunca Polymarket’in frontend’iyle etkileşime giren etkilenen kullanıcıların cüzdan onayları başka adreslere yönlendirildi. İhlal tespit edilmeden önce on bir cüzdan fon kaybetti.
Akıllı sözleşmelerin denetimden geçip onaylanmış olması, saldırı vektörü sözleşme katmanının “yukarı akışında” olduğunda sınırlı koruma sağlayabiliyor.
Güvenlik Olayının Ardından Düzenleyici Baskı Artıyor
Polymarket, ABD Emtia Vadeli İşlemler Komisyonu’nun (CFTC) platformun ABD’li kullanıcı erişimine ilişkin bir soruşturma başlatmasından bu yana artan düzenleyici ilgi altında faaliyet gösteriyor. 2026 boyunca devam eden CFTC soruşturması, Polymarket’in tahmin piyasalarının, Amerikalı kullanıcılara sunulan kayıtsız emtia sözleşmeleri olup olmadığını inceliyor.
Platform, 2024 ABD seçim döngüsü sırasında, piyasalarının başkanlık yarışı olasılıklarına ilişkin medya haberlerinde sıkça referans gösterilmesiyle ana akımın dikkatini çekti. Bu görünürlük hem kullanıcı büyümesini hem de düzenleyici incelemeyi beraberinde getirdi. Aktif bir CFTC soruşturmasıyla yüksek profilli bir güvenlik olayının birleşimi, platform işletmecileri üzerinde bileşik itibar baskısı yaratıyor.
Tahmin piyasalarında güvenlik endişeleri sektörde tekrarlayan bir tema. Frontend saldırılarını önlemek özellikle zor; çünkü çekirdek protokolden ziyade üçüncü taraf tedarikçilerin ele geçirilmesine dayanıyorlar. Son iki yılda birçok DeFi platformu benzer tedarik zinciri tarzı ihlaller yaşadı.
Ayrıca Oku: Micron, %236’lık Rallinin Ardından Wall Street’in Yeni Yapay Zekâ Takıntısı Oldu
Sırada Ne Var?
Polymarket, etkilenen kullanıcılara tazminat ödenip ödenmeyeceğini henüz doğrulamadı. Platform, saldırı zincirine ilişkin üçüncü taraf güvenlik incelemelerini kısıtlayan, ele geçirilen sağlayıcının kimliğini de açıklamadı.
CFTC soruşturması duruma ek bir karmaşıklık katmanı ekliyor. Saldırıya ilişkin yapılacak herhangi bir kamuoyu açıklaması, devam eden düzenleyici süreçlerle kesişebilir. Çalınan fonların bir köprü aracılığıyla Ethereum’a taşınmış olması, prensipte iz sürmeyi mümkün kılıyor; ancak frontend sağlayıcı istismarlarında, kolluk kuvvetleri müdahalesi olmadan kurtarma oldukça nadir.
Sonraki Haber: HIVE, Bitcoin Madenciliğine Karşı Bahis Oynamak İçin Sıfır Faizle 115 Milyon Dolar Borçlandı