Polymarket Ön Uç Tedarik Zinciri İhlalini Doğruladı ve Kötü Amaçlı Komut Dosyası Kullanıcı Fonlarını Boşalttıktan Sonra Tam Geri Ödeme Sözü Verdi
— By Tony Rabbit in News

Polymarket, 25 Haziran 2026'da, tehlikeye atılmış bir üçüncü taraf satıcının ön ucuna kötü amaçlı bir komut dosyası enjekte ettiğini ve bazı kullanıcıları fonlarını boşaltan transferleri onaylamaya kandırdığını doğruladı. Polymarket, olayı kontrol altına aldığını ve etkilenen kullanıcılara tam geri ödeme yapacağını belirtti. Zincir üstü analistler yaklaşık 3 milyon dolarlık kayıp olduğunu tahmin ediyor.
25 Haziran 2026'da, tahmin piyasası Polymarket, web sitesinin bir ön uç tedarik zinciri saldırısına uğradığını doğruladı. Polymarket'in kendi açıklamasına göre, tehlikeye atılmış bir üçüncü taraf satıcı, bazı kullanıcılar için siteye kötü amaçlı bir komut dosyası enjekte ederek, onları fonlarının kontrolünü bir saldırgana devreden işlemleri imzalamaya yönlendirdi. Polymarket, olayı kontrol altına aldığını, etkilenen bağımlılığı kaldırdığını ve etkilenen kullanıcılara tam geri ödeme yapacağını belirtti. En önemlisi, bu bir akıllı sözleşme veya oracle istismarı değildi. Platformun temel sözleşmeleri ihlal edilmedi. Saldırı, web sitesi katmanında gerçekleşti, bu da kriptolarını kendi kendine saklayan herkes için neden önemli olduğunu açıklıyor.
Polymarket neyi doğruladı
- Polymarket, 25 Haziran 2026'da doğrulanmış X hesabı aracılığıyla ön uç ihlalini resmen doğruladı.
- Tehlikeye atılmış bir üçüncü taraf satıcı, bazı kullanıcılar için ön uca kötü amaçlı bir komut dosyası enjekte etti.
- Komut dosyası, etkilenen kullanıcıları pUSD, Polymarket'in Polygon üzerindeki USDC destekli dolar tokeninin transferlerini onaylamaya yönlendirdi.
- Polymarket, olayı kontrol altına aldığını, bağımlılığı kaldırdığını ve etkilenen kullanıcılara tam geri ödeme yapacağını belirtti.
- Akıllı sözleşmeler istismar edilmedi. Bu bir web sitesi katmanı saldırısıydı.
Ne oldu
Polymarket, olayı Benzinga, Decrypt ve Protos gibi yayınlar tarafından yeniden üretilen bir kamu açıklamasında şöyle anlattı: "Bu sabah, bir üçüncü taraf satıcının tehlikeye atıldığını ve bazı kullanıcılar için ön ucumuza kötü amaçlı bir komut dosyası enjekte ettiğini keşfettik. Olayı kontrol altına aldık ve etkilenen bağımlılığı kaldırdık. Etkilenen kullanıcılarla iletişime geçiyor ve onlara tam geri ödeme yapıyoruz." Açıkça söylemek gerekirse, Polymarket'in web sitesinin bağımlı olduğu bir yazılım ele geçirildi ve bu sayede saldırgan, bazı ziyaretçilerin yüklediği siteye kötü amaçlı kod sızdırdı. Bu kod, Polymarket'in sözleşmelerini bozmadı. Bunun yerine, kullanıcıları, saldırganın tokenlerini taşımasına izin veren onayları imzalamaya kandırdı.
Bir ön uç saldırısı, sözleşme hack'i değil
Bu ayrım, tüm hikayeyi anlatıyor. Bir sözleşme istismarında, saldırganlar zincir üstü kodda bir kusur bulur ve doğrudan bir havuzu boşaltır. Burada, sözleşmeler sağlamdı. Zayıf halka, sizinle blok zinciri arasındaki katman olan web sitesiydi. Bir üçüncü taraf bağımlılığını tehlikeye atarak, saldırgan sitenin kullanıcılardan imzalamasını istediği şeyi değiştirdi ve rutin bir etkileşimi cüzdan boşaltan bir onaya dönüştürdü. Bu bir tedarik zinciri saldırısıdır ve giderek daha yaygın hale gelmektedir çünkü ön uç genellikle arkasındaki denetlenmiş sözleşmelerden daha yumuşaktır. Bunun hangi Polymarket olayı olduğu konusunda da kesin olmakta fayda var. Bu, Polygon'daki Mayıs 2026 UMA CTF Adapter istismarından, zincir üstü araştırmacılar tarafından işaretlenen farklı bir olaydan ve platformun oracle'ı etrafındaki önceki anlaşmazlıklardan ayrıdır. Platformun kendisi hakkında bilgi için, Polymarket ve tahmin piyasaları rehberimize bakın.
Ne kadar çalındı
Polymarket, bir dolar rakamı, mağdur sayısı veya tehlikeye atılmış satıcının adını yayınlamadı. Dolaşan rakamlar Polymarket'ten değil, zincir üstü analistlerden geliyor ve tahmin olarak okunmalıdır. PeckShield, Bubblemaps ve Specter dahil olmak üzere zincir üstü güvenlik firmaları, 15'ten az cüzdandan yaklaşık 3 milyon dolarlık pUSD'nin boşaltıldığını bildirdi. Analistler ayrıca, çalınan pUSD'nin Polygon'dan Ethereum'a köprülenerek ve birleştirilmeden önce ETH'ye dönüştürüldüğünü bildirdi. Polymarket'in bu rakamların hiçbirini doğrulamaması nedeniyle, bunları daha fazla izlendikçe revize edilebilecek analist tahminleri olarak kabul edin.
Tokeniniz "güvenli" olsa bile bu neden önemli
Buradaki ders rahatsız edici ama önemli: token ve sözleşme güvenliği gerekli, ancak yeterli değil. Bir tokeni honeypot için kontrol edebilir, sözleşmenin temiz göründüğünü doğrulayabilir ve yine de bağlandığınız web sitesi tehlikeye atılmışsa ve kötü amaçlı bir işlemi onaylarsanız fon kaybedebilirsiniz. Ön uç, başlı başına bir saldırı yüzeyidir. Arayüzün kendisi size yalan söylediğinde, geriye kalan tek savunma, cüzdanınızın size tam olarak ne imzalamanızı istediğini dikkatlice incelemektir.
Ön uç ve onay saldırılarından kendinizi nasıl korursunuz
- İmzalamadan önce her imza ve onay isteğini okuyun. Tokenleri onaylamak veya transfer etmek için beklenmedik herhangi bir istemden şüphelenin. Bir cüzdan imza isteği nasıl okunur bölümüne bakın.
- Bu saldırı, kullanıcıları imzalamaya kandırmaya dayandığı için cüzdan boşaltıcıların ve imza kimlik avının nasıl çalıştığını öğrenin. Cüzdan boşaltıcı saldırıları açıklandı ve imza kimlik avı bölümüne bakın.
- Özellikle gizli onay boşaltmalarına dikkat edin. Ice phishing ve gizli onay boşaltmaları bölümüne bakın.
- Eski veya kötü amaçlı bir iznin yeniden kullanılamaması için token onaylarını düzenli olarak gözden geçirin ve iptal edin. Token onayları nasıl iptal edilir bölümüne bakın.
- Temel kendi kendine saklama hijyenini uygulayın ve büyük bakiyeleri günlük olarak etkileşimde bulunduğunuz sitelerden uzak tutun.
Önemli çıkarım
Polymarket, olayı hızlı bir şekilde yanıtlamış, kontrol altına almış ve tam geri ödeme taahhüdünde bulunarak kullanıcılara verilen zararı sınırlamış gibi görünüyor. Ancak bu olay, kriptoda web sitesinin tehdit modelinizin bir parçası olduğunun açık bir hatırlatıcısıdır. Tehlikeye atılmış bir bağımlılık, güvenilir bir arayüzü saniyeler içinde size karşı çevirebilir ve kötü amaçlı işlemi kendiniz onaylarsanız hiçbir sözleşme denetimi sizi kurtaramaz. Her imzada yavaşlayın, onayları sıkı tutun ve beklenmedik istemleri aksi kanıtlanana kadar düşmanca kabul edin. Bu gelişmekte olan bir hikaye ve analistlere atfedilen rakamlar değişebilir. Bu makale yalnızca bilgi amaçlıdır ve finansal tavsiye değildir.