Polymarket'te 3 Milyon Dolarlık Tedarik Zinciri Saldırısı: Kullanıcı Fonları Çalındı, Sahte Bahis Skandalı İşleri İçinden Çıkılmaz Hale Getirdi

25 Haziran 2026'da Polymarket, kullanıcı fonlarının yaklaşık 3 milyon dolarını boşaltan bir tedarik zinciri saldırısına uğradı. Olay, Wall Street Journal'ın platformun, kullanıcıların büyük kazançlar elde ettiğini gösteren sahte videolar oluşturmaları için içerik üreticilere ödeme yaptığını ortaya çıkaran soruşturmasından sadece beş gün sonra meydana geldi. Bu zamanlama, ciddi bir güvenlik başarısızlığını, platformun operasyonel bütünlüğü, tedarikçi yönetimi ve kullanıcı koruma taahhüdü hakkında soru işaretleri yaratan bir güvenilirlik krizine dönüştürdü.

3 Milyon Dolarlık Saldırı Nasıl Gerçekleşti?

Saldırganlar, Polymarket'in web sitesinin ön yüzü (frontend) için kullandığı kimliği belirlenemeyen bir üçüncü taraf satıcıyı ele geçirdi. Bu erişimi kullanarak Polymarket'in ön yüzüne kötü niyetli JavaScript kodu enjekte ettiler. Bu kod, belirli bir kullanıcı grubuna yönelik bir kimlik avı (phishing) saldırısı başlattı. Platformun temel akıllı sözleşmeleri ve blok zinciri altyapısı tehlikeye atılmadı; ihlal tamamen bir ön yüz tedarik zinciri vektörüydü .

Saldırının temel teknik detayları şunlar:

• Hedef: Kötü amaçlı kod, 15'ten az hesabı hedef aldı. Bubblemaps'ten alınan zincir üstü veriler, en az 11 cüzdanın boşaltıldığını gösteriyor .
• Çalınan Varlık: Çalınan varlık, pUSD (Polymarket'in Polygon ağındaki köprülenmiş USDC'si) idi. Saldırganlar, fonları Polygon'dan Ethereum'a köprüledi ve yaklaşık 1.893 ETH karşılığında takas etti .
• Kayıp Tahmini: Bağımsız güvenlik analisti Specter, doğrulanan kaybı 2,94 milyon dolar olarak açıklarken, Polymarket ve diğer kaynaklar bu rakamı yaklaşık 3 milyon dolar olarak yuvarlıyor .

Saldırı, kripto platformlarındaki klasik bir zayıflığı ortaya çıkardı: Blok zinciri akıllı sözleşmeleri güvenli olsa bile, üçüncü taraf bağımlılıkları güvenlik açıklarına yol açabiliyor. Gerçek Polymarket alan adında çalışan kötü amaçlı kod nedeniyle, kullanıcılar meşru platformla etkileşime girerken sahte işlemleri onaylamaları için kandırıldılar .

Polymarket'in Aldığı Güvenlik Önlemleri

Polymarket'in X/Twitter üzerinden duyurduğu acil müdahalesi şunları içeriyordu:

• Kontrol altına alma ve kaldırma: Platformun ön yüzündeki tehlikeye atılmış üçüncü taraf bağımlılığının kaldırılması .
• Tam para iadesi: Şirket, etkilenen tüm kullanıcıların zararlarını karşılamayı taahhüt etti .
• Devam eden soruşturma: Polymarket, olaya karışan satıcının adını açıklamayı reddetti .

Müdahale hızlıydı; şirket, ihlali meydana geldiği sabah tespit edip doğruladı. Ancak bu, Polymarket'in iki aydan kısa süredeki ikinci güvenlik olayıydı. Mayıs 2026'nın ortalarında, özel bir anahtarın ele geçirilmesi sonucu yaklaşık 700.000 dolarlık bir iç cüzdan saldırısı yaşanmıştı . Bu önceki olay doğrudan kullanıcı fonlarını etkilememiş olsa da, Polymarket'in operasyonel güvenliğindeki zayıflıkların sinyalini vermişti.

Aldatıcı Pazarlama Skandalı

Saldırıdan sadece günler önce, 20 Haziran 2026'da Wall Street Journal, Polymarket'in sosyal medya içerik üreticilerine, platformda büyük meblağlar kazandıklarını sahte bir şekilde gösteren videolar çekmeleri için ödeme yaptığını ortaya çıkaran bomba bir soruşturma yayınladı .

WSJ soruşturmasının temel bulguları:

• Analistler, sosyal platformlarda Polymarket hakkında 1.105 video inceledi. Bunlardan 778'i sahte bahisleri gösteriyordu ve hiçbiri gerçek Polymarket borsasını kullanmıyordu .
• Videolar toplamda 1,9 milyon dolarlık kazanç gösteriyordu .
• Polymarket, içerik üreticilere bahisleri nasıl canlandıracaklarına dair talimat materyalleri sağlamıştı .
• 26 Haziran 2026'da – yani saldırıdan bir gün sonra – Ulusal Tüketici Savunucuları Derneği, Polymarket'i aldatıcı bir pazarlama planı düzenlemek, gizli reklamlar için ödeme yapmak ve kaybetme olasılıklarını gizlerken agresif bir şekilde üniversite öğrencilerini hedef almakla suçlayarak dava açtı .
• Polymarket, tanıtım içeriğini denetlediğini söyleyerek yanıt verdi .

WSJ raporu, Virality adlı bir pazarlama şirketinin içerik üretici ağını yönettiğini ve üreticilere aylık 2.000 ila 3.000 dolar arasında ödeme yaptığını detaylandırdı. Ödemeler, kitlelerinin en az %60'ının ABD merkezli olması koşuluna bağlıydı .

Bu Krizler Birbirini Nasıl Kötüleştiriyor?

Ardı ardına gelen skandallar, birkaç boyutta birleşik bir güven krizi yaratıyor:

Boyut	Etki
Güvenlik Güveni	İki ayda iki ihlal – Mayıs'ta bir iç cüzdan ele geçirilmesi ve Haziran'da 3 milyon dolarlık tedarik zinciri saldırısı – yetersiz üçüncü taraf tedarikçi risk yönetimini gösteriyor
Operasyonel Bütünlük	Sahte video skandalı, Polymarket'in bahis sonuçları hakkında kamuoyunu gönüllü olarak yanılttığını kanıtlıyor. Kullanıcıların artık herhangi bir tanıtım içeriğinin – hatta piyasa verilerinin – gerçek olup olmadığını sorgulamak için nedenleri var
Düzenleyici Risk	Tüketici savunucularının açtığı dava, saldırıyla birleşince düzenleyici müdahale için zemini güçlendiriyor. Polymarket halihazırda CFTC'nin incelemesi altında ve 2024'te kayıtsız borsa işlettiği için 1,4 milyar dolarlık bir SEC uzlaşması kapsamında faaliyet gösteriyor
Kullanıcı Güveni	Hem kazançları uyduran hem de ön yüzünü bilinen bir saldırı sınıfına (tedarik zinciri JS enjeksiyonu) karşı güvence altına alamayan bir platform, kullanıcıların gerçek fonlarını emanet etmeleri için çok az neden sunuyor

Zamanlama kritik: Saldırı, WSJ soruşturmasından beş gün sonra gerçekleşti ve bu güvenlik başarısızlığı, Polymarket'in operasyonel ve etik standartlarının tehlikeli derecede gevşek olduğunu söyleyen eleştirmenleri anında haklı çıkardı. Şirket şimdi güvenlik, hukuk ve itibar krizleriyle eş zamanlı olarak mücadele ediyor ve kullanıcı güvenini yeniden kazanmak için net bir yol haritası görünmüyor.

Kripto Platformları İçin Daha Geniş Etkiler

Polymarket'in tedarik zinciri saldırısı, kripto güvenliğinde daha geniş bir modelin parçası. Üçüncü taraf tedarikçileri hedef alan tedarik zinciri saldırıları, blok zinciri altyapısının güçlü güvenliğini atlattıkları için giderek daha yaygın hale geliyor. Ele geçirilmiş bir ön yüz bağımlılığı yoluyla gerçekleştirilen kötü amaçlı JavaScript enjeksiyonu saldırı vektörü iyi bilinmesine rağmen, sıkı tedarikçi denetimi ve kod bütünlüğü kontrolleri olmadan önlenmesi zordur .

Herhangi bir kripto platformuyla etkileşime giren kullanıcılar için Polymarket olayı birkaç dersi vurguluyor:

• Ön yüz bağımlılıkları tehlikeye atılırsa, akıllı sözleşme güvenliği yeterli değildir
• Üçüncü taraf tedarikçi riski, sadece ilk durum tespiti değil, sürekli izleme gerektirir
• Hızlı ardına gelen birden fazla güvenlik olayı, izole başarısızlıklar değil, sistematik zayıflıklara işaret eder

Polymarket, etkilenen tüm kullanıcıları geri ödemeyi taahhüt etti, ancak şirket ele geçirilen tedarikçinin adını vermedi veya ihlalin gelecekteki olayları nasıl önleyeceğine dair ayrıntılı bilgi paylaşmadı . Şeffaflık ve anlamlı güvenlik iyileştirmeleri olmadan, kullanıcı güvenini yeniden inşa etmek oldukça zor olacak.