Altı yıl öncesine dayanan bir özel anahtarın ele geçirilmesi, bir saldırganın Polymarket’in dahili ödüller cüzdanına erişmesine neden oldu ve 16 adrese yaklaşık 700.000 dolarlık fonlar çalındı. Polygon blok zinciri üzerinde çalışan tahmin pazarı platformu, ihlalin kullanıcı yatırımlarına dokunmadığını ve pazar sonuçlarını etkilemediğini doğruladı.
Bunu, birinin ofis malzemesi dolabının eski bir yedek anahtarını bulması gibi düşünün. Güvenlik kasanın içine girmemiş, ancak dolabı oldukça temizlemiş.
Drenaj nasıl gerçekleşti
ZachXBT ve Bubblemaps adlı zincir içi araştırmacılar, şüpheli faaliyeti 22 Mayıs'ta ilk olarak işaret etti. İlk tahminlere göre hasar yaklaşık 520.000 dolar olarak değerlendirildi, ancak araştırmacılar, çalınan fonları birden fazla adres, borsa ve karıştırıcı üzerinden izlerken bu rakam yaklaşık 700.000 dolara çıktı.
Saldırgan, erken aşamalarda her 30 saniyede 5.000 POL tokenu boşalttı. Bu tür sistematik bir tempoyla, kimse tuşlara çabucak tıklamıyor.
Kompromasa uğrayan cüzdan, kullanıcı katılımı ödüllerini dağıtmak için özel olarak kullanılan eski bir yönetim adresiydi. İngilizce'de: promosyon teşviklerini finanse eden bir üstlenme cüzdanıydı, trader teminatlarını veya piyasa settlements fonlarını tutan bir kasa değildi.
Varlıkların dondurulmasına yönelik çabalar kısmi sonuçlar verdi. 573.000 dolarlık bölümün yaklaşık 164.000 doları donduruldu, bu da istenen müdahale öncesinde çalınan fonların büyük bir kısmının zaten borsalar ve karıştırma hizmetleri aracılığıyla aklanmış olduğu anlamına geliyor.
Anahtarın yaşı altı yıl. Bağlam olarak, kripto altyapısında altı yıl, bir bankanın güvenlik sistemini Windows XP üzerinde çalıştırmaya yaklaşık eşdeğerdir. Anahtarın yaşı, organizasyonların erken aşamadaki güvenlik uygulamalarını aşmakla birlikte eski kimlik bilgilerini iptal etmeyi unutmalarına işaret eden yaygın ancak önlenilebilir bir zafiyeti gösterir.
Polymarket’in yanıtı ve ne güvenli kaldı
Polymarket’in geliştirme ekibi, kullanıcı fonlarının, akıllı sözleşmelerin ve işlem sistemlerinin etkilenmediğini hemen duyurarak kullanıcıları rahatlattı. Pazar oluşturma, işlem yapma ve setlement dahil olmak üzere platformun temel operasyonları kesintisiz şekilde devam etti.
İhlal, tamamen ödüllerin dağıtımı cüzdanına sınırlı kaldı. Piyasa sonuçları manipüle edilmedi. Kullanıcı bakiyelerine dokunulmadı.
Bu ayrım önemlidir. Polymarket, kripto dünyasında en öne çıkan tahmin piyasalarından biri haline gelmiş ve siyasi olaylar ve büyük haber döngüleri sırasında önemli ilgi çekmiştir. Kullanıcı fonları veya piyasa bütünlüğü gerçekten tehlikeye giren bir ihlal, merkeziyetsiz tahmin piyasalarının tüm güven modelini zedeleyebilecek tamamen farklı bir hikâyedir.
Şirket, olaya dair kapsamlı bir araştırma yürüttüğünü söyledi. Bu araştırma, anahtarın nasıl depolandığına, kimlerin erişimine sahip olduğuna ve hangi döndürme politikalarının (veya bunların olmamasının) uygulandığına dair kamuoyuna açıklamaya yol açıp açmayacağını izlemek değerli olacak.
Kripto güvenlikte tanıdık bir desen
Yaşlanmış bir yönetici anahtarının zayıf halka olması bu ilk kez değil. Kripto endüstrisi, eski altyapı sorunuyla sürekli karşı karşıya kalıyor. Projeler küçük bir ekip ile başlatılır, çeşitli operasyonel cüzdanlar için anahtarlar oluşturulur ve ardından bu erken kimlik bilgileri denetlenmeden hızla ölçeklenir.
Buradaki saldırı vektörü, bir akıllı sözleşme hatası, bir flash kredi istismarı ya da karmaşık bir DeFi manipülasyonu değildi. Yıllar önce değiştirilmesi veya devre dışı bırakılması gereken bir özel anahtardı. En basit istismarlar, nadiren kontrol edildikleri için genellikle en zararlı olur.
Geçmişte benzer olaylar diğer projeleri de etkilemiştir. Bir projenin en erken günlerinden kalma sıcak cüzdanlar, yönetici anahtarları ve dağıtım adresleri, saldırganlar için sürekli bir saldırı yüzeyi oluşturur. Bir özel anahtar, phishing, kötü amaçlı yazılım veya dahili bir tehdit yoluyla tehlikeye girdiğinde, sahibinin işlemlerini gerçekleştirmesini engelleyecek zincir üzerinde bir mekanizma yoktur.
Çok imzalı cüzdanlar, donanım güvenlik modülleri ve düzenli anahtar döndürme tümü standart önlemlerdir. Altı yıl boyunca tek bir anahtarın, fonlanmış bir cüzdan üzerinde hâlâ yetkiye sahip olması, bu özel adres için bu uygulamalardan en az birinin uygulanmadığını göstermektedir.
Bu, yatırımcılar ve kullanıcılar için ne anlama geliyor
Şu şey var: 700.000 dolarlık kayıp, kripto istismarı standartlarına göre nispeten skördür. Ancak özellikle kullanıcı güvenine dayalı çalışan bir platform için, itibar hasarı dolar miktarını aşabilir.
Tahmin pazarları doğası itibarıyle güvene dayanır. Kullanıcılar gerçek para kazançlar üzerine bahis yapar ve fonlarını yöneten ve bahislerini çözen platformun operasyonel olarak sağlam olduğuna inanmalıdır. Hatta sadece ödüller cüzdanına sınırlı bir ihlal, arka planda başka hangi eski sistemlerin olabileceğine dair şüpheleri artırır.
Polymarket’i aktif olarak kullanan trader’lar için anlık risk kontrol altında görünüyor. Kullanıcı fonları tehlikeye girmemiş ve platformun akıllı sözleşmeleri sızıntıya dahil olmamıştır. Yatırma, çekim ve pazar settlements işlemlerini yöneten operasyonel altyapı, sızan cüzdanla tamamen ayrılmıştır.
Daha büyük endişe sistemiktir. Polymarket, en bilinen ve en iyi finanse edilen tahmin platformlarından biri olarak, altı yaşındaki bir anahtarla aktif fon erişiminde bulunuyorsa, daha küçük ve daha az kaynaklı projelerde anahtar yönetimi hijyeni nasıl görünür? Bu olay, kullanıcıları sadece akıllı sözleşme denetim raporları değil, fonlarını yerleştirdikleri herhangi bir platformun operasyonel güvenliği hakkında daha zor sorular sormaya teşvik etmelidir.
Rekabetçi platformlar, bu anı güvenlik uygulamalarında fark yaratmak için kullanabilir. Tüm operasyonel cüzdanlar için şeffaf anahtar döndürme politikaları, çok imzalı gereksinimler ve düzenli üçüncü taraf güvenlik denetimleri, ciddi hacim çekmek isteyen platformlar için artık temel gereklilikler haline gelebilir. Güvenin ürün olduğu bir piyasada, en sıkı operasyonel güvenliği inandırıcı bir şekilde gösterebilen platformun anlamlı bir avantajı vardır.
Şu anda 164.000 doların kısmen dondurulması, çalınan fonların büyük çoğunluğunun muhtemelen geri kazanılamayacağı anlamına gelir. Karıştırıcılar ve borsalar aracılığıyla geçen fonlar, pratik açıdan kaybolmuştur. Yasal yetkililerin veya zincir üzerindeki forensik analizlerin kalan fonları tanımlanabilir bir tarafa kadar izleyip izleyemeyeceği hâlâ açık bir soru olmaya devam etmektedir, ancak her karıştırma hizmeti geçişiyle bu olasılık azalmaktadır.