Zincir üstü araştırmacı ZachXBT'nin tespitleriyle gün yüzüne çıkan bir saldırıda, Polymarket'ın Polygon ağındaki UMA CTF Adapter sözleşmesine bağlı bir operasyon cüzdanından 700 bin dolardan fazla POL token çalındı. Saldırı saatler boyunca aktif kaldı.
Saldırı nasıl ilerledi?
ZachXBT, Polymarket'ın UMA CTF Adapter altyapısına bağlı bir cüzdandan her 30 saniyede bir 5.000 POL token çekildiğini tespit etti. Başlangıçta 520.000 dolar olarak raporlanan kayıp kısa sürede 660.000 doları geçti. Sonraki saatlerde bu rakamın 700.000 doları aştığı doğrulandı.
Saldırgan, iki adresin boşaltıldığını tespit eden PeckShield'e göre, çalınan fonların bir bölümünü ChangeNOW adlı bir kripto swap hizmetine aktardı. Saldırı cüzdanı PolygonScan'de "Polymarket Adapter Exploiter 1" olarak etiketlendi.
Çalınan fonlar ardından en az 15 ayrı cüzdan adresine dağıtıldı. Temel saldırı adresi 0x8F98075db5d6C620e8D420A8c516E2F2059d9B91 olarak kayıtlara geçti; boşaltılan diğer iki adres ise 0x871D…9082 ve 0xf61e…4805 olarak belirlendi.
Akıllı sözleşme açığı değil, özel anahtar ihlali
Olayın ilk saatlerinde bir akıllı sözleşme açığından söz edilse de Polymarket'ın mühendislik ekibi Discord'da yaptığı açıklamayla tabloyu netleştirdi. Şirket, bulgularının sözleşmelerin değil, dahili operasyonlar için kullanılan bir cüzdanın özel anahtarının ele geçirildiğine işaret ettiğini açıkladı. Yani sorun, platformun çekirdek altyapısında değil, erişim kontrolündeydi.
Polymarket'ın UMA CTF Adapter'ı, tahmin piyasalarını UMA'nın Optimistic Oracle'ına bağlamak için kullanılıyor. Adapter, Conditional Tokens Framework üzerine kurulu piyasaların çözümlenmesini sağlıyor. Teknik açıdan bakıldığında saldırı bu entegrasyon katmanını değil, onu yöneten cüzdanın kimlik bilgilerini hedef aldı.
Piyasa tepkisi
Saldırının yaşandığı saatlerde UMA token fiyatı 0,477 dolardan 0,462 dolara gerek, yani yaklaşık yüzde 3,3 geriledi. POL fiyatı ise nispeten sınırlı bir etki gördü. Bu ayrışma, piyasa katılımcılarının saldırının kapsamını doğru okuyabildiğine işaret ediyor: asıl risk UMA'nın oracle altyapısıyla ilgiliydi, Polygon'un temel katmanı sorunsuz çalışmaya devam etti.
Polymarket'ın Nisan 2026'da yaklaşık 15 milyar dolar değerleme üzerinden 400 milyon dolar yatırım turunu kapattığı bildirilmişti. Şirketin geçtiğimiz aylarda New York Borsası'nın ana ortağı Intercontinental Exchange'den 600 milyon dolarlık stratejik yatırım aldığı da biliniyordu. Bu tablo, saldırının zamanlama açısından da dikkat çekici olduğunu gösteriyor.
Bağımsız doğrulamalar
ZachXBT'nin ilk alarmının ardından Bubblemaps, Lookonchain ve PeckShield saldırıyı bağımsız olarak teyit etti. Bubblemaps, kullanıcıları tüm Polymarket işlemlerini askıya almaya çağırdı. Santiment ise zincir üstü verileri anlık olarak takip ederek kayıp rakamlarını güncelledi.
Kullanıcı fonları güvende mi?
Polymarket, saldırının platformun ana altyapısını değil, operasyonel bir cüzdanı etkilediğini vurguladı. Kullanıcı fonlarının tehlikede olmadığı belirtildi; ancak şirketin resmi bir yazılı açıklama yapmadığı, iletişimin Discord kanallarıyla sınırlı kaldığı görüldü.
Zincir üstü güvenlik analistleri, Polymarket'tan kapsamlı bir açıklama gelene kadar platforma yeni fon yatırılmamasını ve UMA CTF Adapter ile bağlantılı pozisyonların yakından takip edilmesini tavsiye ediyor.
