24 Aralık 2025 – Merkezi olmayan bir öngörü piyasası platformu olan Polymarket, üçüncü taraf bir kimlik doğrulama sağlayıcısındaki güvenlik ihlali nedeniyle kullanıcı hesaplarına yetkisiz erişim ve hesaplardan para transferleri gerçekleştiğini doğruladı. İhlal esas olarak Ethereum hesapları için tek tıkla e-posta tabanlı cüzdan oluşturmaya olanak tanıyan Magic Labs üzerinden kayıt olan kullanıcıları etkiledi.
Birçok kullanıcı, e-posta hesaplarına iki faktörlü kimlik doğrulamayı etkinleştirmiş olmasına rağmen ani bakiye kayıpları bildirdi. Zincir üzerindeki işlemlerin analizi, saldırganların kimlik doğrulama hatasını kullanarak giriş kontrollerini aşabildiğini ve Ether ile ERC-20 tokenlerini saldırganın kontrolündeki adreslere taşıyan akıllı sözleşme çağrıları gerçekleştirdiklerini ortaya koydu.
Polymarket'in mühendislik ekibi, Magic Labs entegrasyon katmanında kök nedeni belirledi ve 23 Aralık'ta yamayı devreye aldı. Resmi Discord duyurusunda şirket, güvenlik ihlalinin kontrol altına alındığını ve daha fazla olayın tespit edilmediğini açıkladı. Polymarket, etkilenen hesapların toplam sayısını ya da tehlikeye giren varlıkların hacmini açıklamadı ancak çekirdek işlem protokolünün ve akıllı sözleşmelerin güvende kaldığını vurguladı.
Platform, kendi Ethereum Layer 2 ağı POLY'ye geçiş yapmayı ve benzer bağımlılıkları ortadan kaldırmak için üçüncü taraf giriş hizmetini emekli etmeyi planlıyor. Etkilenen kullanıcılara kurtarma seçeneklerini içeren doğrudan bir iletişim gönderilecek; ancak Polymarket kayıplar için tazminat taahhütünde bulunmadı.
Endüstri uzmanları olayı, kritik kimlik doğrulama mekanizmalarının dış kaynak kullanımı risklerine dair uyarıcı bir örnek olarak görüyor. Web3 projeleri kullanıcı kaydı için giderek daha fazla dış SDK'lara güvenmedikçe, sistemik güvenlik açıklarını önlemek için sıkı güvenlik denetimleri ve geri dönüş kontrolleri hayati öneme sahiptir.
– CryptoReporter.
Yorumlar (0)