Blockchain tehdit istihbaratı hesabı Dark Web Informer, olayı X üzerinde bir sonraki günde açıkladı. Polymarket, aynı gün, ilgili verilerin "açık API aracılığıyla erişilebilir" olduğunu belirterek olayı bir "sızıntı" değil, bir "fonksiyon" olarak sınıflandırdı. Ancak resmi açıklama, hackerın listelendiği API hataları ve zafiyet kullanım detaylarını doğrudan ele almadı.
27 Nisan'da, "xorcat" takma adını kullanan bir saldırgan, bir siber suç forumuna 8,3 MB'lık bir JSON dosyasını içeren bir arşiv yükledi; bu dosya açıldığında yaklaşık 750 MB boyutuna ulaştı ve Polymarket'ten çıkarılan 300 binin üzerinde kayıt, 5 adet aktif zafiyet kullanma betiği (PoC) ve bir teknik rapor içeriyordu.
Polymarket aynı gün yanıt verdi. Ancak yanıt, yaygın bir kriz iletişimindeki özür ve sorun araştırması değil, neredeyse meydan okuyan bir itirazdı. Platformun resmi hesabı X'te bir gönderiyle, tüm ilgili içeriklerin açık uçlardan ve zincir üstü verilerden erişilebilir olduğunu vurguladı ve bunu «bu bir özellik, bir hata değil» olarak tanımladı.
Olay, bir羅生門 haline geldi: Haker tarafı, bu olayın duyurulmadan yayınlanan bir veri saldırısı olduğunu ve özellikle bazı API hatalı yapılandırmalarını işaret ettiğini savunuyor; platform tarafı ise tüm içeriklerin açık veri olduğunu ve hiçbir gizli bilginin sızdırılmadığını iddia ediyor.
Saldırı yolu: “Kilitlenmemiş bir dizi kapı”
Xorcat'ın forum gönderisindeki açıklamaya göre, saldırı herhangi bir tekil karmaşık zafiyete bağlı değildi, daha çok kilitli olmayan bir dizi kapıdan geçmeye benziyordu. Siber güvenlik medyası The CyberSec Guru'nun analizine göre, saldırı üç ana kategoriye dayanıyordu: açıkça belirtilmemiş API uç noktaları, CLOB (Merkezi Sınırlı Fiyat Sipariş Defteri) işlem API'sinin sayfalama atlaması ve bir CORS (Çapraz Kaynak Kaynak Paylaşımı) yapılandırma hatası.
Yapılan açık raporda, Polymarket'in birden fazla uç noktasının tamamen kimlik doğrulama gerektirmediği belirtiliyor. Örneğin, yorum uç noktası, tam kullanıcı profillerini brute force ile tespit etmeyi destekliyor; rapor uç noktası kullanıcı aktivite verilerini ortaya çıkarıyor; takipçi uç noktası, herhangi bir kullanıcının oturum açmadan herhangi bir cüzdan adresinin tam sosyal ilişkilerini haritalandırmasını sağlıyor.
300.000'den fazla kayıttan ne oluşuyor
xorcat forum gönderisi ve The CyberSec Guru, The Crypto Times’in geri dönüşümü, sızıntı paketinin kullanıcılar, pazarlar ve saldırı araçları olmak üzere üç kategoriye göre düzenlendiğini göstermektedir (aşağıdaki veri kartına bakınız).
Kullanıcı tarafındaki 10.000 bağımsız kullanıcı profili, adı, takma adı, kişisel tanıtımı, profil resmi, temsilci cüzdan adresi ve alt yapı cüzdan adresini içerir. 9.000 takipçi profili sosyal ilişkiler haritasını çizer. 4.111 yorum verisi, ilgili kullanıcı profilleriyle birlikte mevcuttur. 1.000 rapor kaydında 58 bağımsız Ethereum adresi yer almaktadır. createdBy ve updatedBy gibi dahili kullanıcı ID alanları da çeşitli yerlerde dağılmış olup, platform hesap yapısının kısmen yeniden oluşturulmasına olanak tanır.
Piyasa tarafı, tam meta veriler, condition ID ve token ID içeren 48.536 Polymarket Gamma sistemi pazarını, 250.000'den fazla aktif CLOB pazarını (FPMM sözleşme adresleriyle birlikte), gönderen ve karar verici iç kullanıcı adları ve cüzdan adresleri içeren 292 olayı, ayrıca USDC sözleşme adresleri ve günlük ödeme oranları ile 100 ödül yapılandırmasını kapsar.
Cüzdan adresleri zincir üzerinde kendiliğinden anonimdir, ancak adlar, profil bilgileri ve profil resimleriyle birlikte ortaya çıktığında anonimlik hemen yok olur. Bu, Polymarket'in bu yanıtında ele alınmayan temel tartışma noktasıdır:
Verilerin "açık" olup olmaması, verilerin birleştirildikten sonra kullanıcı kimliklerinin hala korunup korunmadığı ile iki farklı sorundur.
Bu bir fonksiyon, açıklık değil: Polymarket'in itirazı
Polymarket, 28 Nisan'da X'te yayımladığı yanıtta yalnızca bir tweet paylaştı. Platform, «😂» emojisiyle başlayarak «hacker saldırıya uğradı» ifadesini sorguladı ve ardından sırayla itirazlarda bulundu: zincir üzerindeki veriler zaten açıkça denetlenebilir, hiçbir veri «sızdırılmadı», aynı bilgiler zaten açık API üzerinden ücretsiz olarak elde edilebilirdi, bunlar için ödeme yapılmazdı. Tüm ifade, «Bu bir özellik, bir açıklık değil» diyerek sona erdi.
The Crypto Times, haberinde, Polymarket'in yanıtı, API hatalı yapılandırması, CORS hatalı yapılandırması, açık olmayan uç noktalar, hız sınırlamalarının eksikliği gibi hakerin sunduğu spesifik teknik iddiaları doğrudan ele almamıştır. Platform, en kolay çürütülebilecek olan "verilerin açık olup olmadığı" düzeyinde güçlü bir tutum sergilemiş ancak "saldırganın beklenmeyen yollarla verileri topluca çıkartıp paketlemesi" gibi daha temel güvenlik sorununa sessiz kalmıştır.
Xorcat, Polymarket'e önceden bildirimde bulunmamayı, bu platformun bir güvenlik açığı ödüllendirme programına sahip olmaması nedeniyle açıkladı. Bu iddia şu anda üçüncü taraflar tarafından doğrulanmamıştır; ancak doğruysa, Polymarket'in aktif güvenlik yönetimi açısından bir eksikliği olduğunu gösterir: resmi sorumlu açığa bildirim kanalı yoktur ve saldırganlar içsel raporlama yerine doğrudan kamuoyuna açıklamayı tercih eder.
Bu, Polymarket'in ilk kez güvenlik sorunu yaşaması değil.
Zaman çizelgesine geri dönersek, 2024 Ağustos ve Eylül ayları arasında, Google hesapları ile Polymarket'e giriş yapan birçok kullanıcı, USDC'lerinin çalındığını bildirdi; saldırganlar, Magic Labs SDK'daki proxy fonksiyon çağrısını kullanarak kullanıcı bakiyelerini korsan adreslerine aktardı. Polymarket müşteri hizmetleri, Eylül sonuna kadar en az 5 benzer saldırı doğruladı.
2025 Kasım'da, bir haker, Polymarket yorum bölümlerine phishing bağlantıları yayınladı; bağlantılar tıklandığında kullanıcı cihazlarına zararlı betikler yüklendi ve ilgili sahtekarlık faaliyetleri toplamda 500.000 doların üzerinde kayıp yarattı.
Aralık 2025'te tekrar toplu hesap çalınmaları yaşandı. Polymarket, Discord üzerinden olayı onaylayarak bunun "üçüncü taraf kimlik doğrulama hizmetindeki bir açıklık" nedeniyle olduğunu belirtti. Sosyal medya tartışmaları genellikle Magic Labs e-postasıyla giriş yapan kullanıcı gruplarını işaret ediyor; platform, ilgili hizmet sağlayıcıyı açıkça adlandırmadı ve etkilenen kullanıcı sayısını ya da kayıp miktarını açıklamadı.
Her olaydan sonra platform, üçüncü taraf sağlayıcıya yüklemek, sorunu kabul etmek ve etkilenen kullanıcılarla iletişime geçme taahhüdü gibi farklı düzeyde tepkiler vermişti. Bu xorcat olayı, tam bir savunma olarak “bu zaten açık veri” ifadesini kullanan ilk kezdir. Tarihsel bağlamda, bu yanıt, geleneksel bir güvenlik olayı tepkisi yerine, olayın doğasını belirleme mücadelesine benziyor.
Yazının yayımlanması itibarıyla, Polymarket, xorcat tarafından ortaya çıkarılan teknik açığı düzeltmeye dair herhangi bir açıklama yapmadı ve forumdaki PoC betiği hâlâ herkes tarafından indirilebilir durumda.
Yazar: Claude, Şen Çay TechFlow