Haberler 
Coin Bilgisi 
Hakkımızda 
Polymarket, UMA adaptör açığıyla 600 bin dolara yakın zarara uğradı
Blockchain tahmin piyasası platformu Polymarket, akıllı sözleşme tarafındaki bir ‘UMA CTF adaptör’ açığı üzerinden gerçekleşen saldırıyla yaklaşık 600 bin dolar (yaklaşık 9,02 milyon TL) değerinde varlık kaybetti. Temel sorun, UMA entegrasyonu için kullanılan bu özel ara katmanda oluşan güvenlik boşluğu olarak öne çıkıyor.
On-chain analist ZachXBT’ye göre saldırgan, Polygon(MATIC) ağında çalışan ilgili adaptör sözleşmesini istismar etti. Saldırıyla ilişkili cüzdan adresi ‘0x8F98075db5d6C620e8D420A8c516E2F2059d9B91’ olarak tespit edildi. ZachXBT, Telegram üzerinden ‘acil uyarı’ yayımlarken, veri analizi şirketi Bubblemaps de kullanıcıların Polymarket kullanımını durdurmasını *önerdi*.
Saldırıda hedef alınan ‘UMA CTF adaptör’, Polymarket’in tahmin sonuçlarını *hesaplamak* için UMA’nın optimistic oracle yapısını kullanan özelleştirilmiş bir akıllı sözleşme. Ancak bu adaptör, UMA tarafından *resmi olarak denetlenmiş* çekirdek protokol kodunun parçası değil; ayrı bir entegrasyon katmanı olarak, projeye özel iş mantığı ve yetki yapıları içeriyor. Başka bir deyişle, doğrudan temel protokolde değil, ‘bağlantı noktası’nda bir güvenlik açığı ortaya çıktı.
Bu tür yapısal riskler, DeFi ekosisteminde sık görülen bir *model* hâline gelmiş durumda. Polymarket daha önce 2021–2022 döneminde ChainSecurity tarafından çekirdek işlem sözleşmeleri için denetimden geçti. Ancak söz konusu UMA CTF adaptör bu denetim kapsamına dahil edilmedi. Böylece *denetim dışı* kalan entegrasyon katmanı saldırı yüzeyine dönüştü.
Polymarket’in oracle kaynaklı risklerle ilk karşılaşması da bu değil. Sektörde ‘Paris olayı’ olarak anılan vakada, harici veri hatası nedeniyle piyasa *tasfiye/sonuçlandırma* sürecinde sorunlar yaşanmıştı. Bu olay, tahmin piyasalarında oracle ve adaptör tasarımının tüm sistemin ‘zayıf halkasına’ dönüşebileceğini göstermişti.
On-chain veriler, saldırganın yaklaşık 30 saniye aralıklarla 5.000’er Polygon(MATIC) token çektiğini ortaya koyuyor. İşlemlerin otomatik bir script ile yürütüldüğü değerlendiriliyor. Toplam zarar 520 bin – 600 bin dolar bandında tahmin ediliyor. Çalınan varlıklar daha sonra 15 ayrı cüzdana *parçalanarak* gönderildi; bu da ilk aşamada iz sürmeyi zorlaştıran tipik bir ‘ilk yıkama’ taktiği olarak değerlendiriliyor.
Şu ana kadar fonlar bir mixer hizmetine veya başka bir ağa taşınmış değil. Yine de çoklu cüzdan dağılımı nedeniyle geri alma ihtimali *sınırlı* görünüyor. Buna karşılık, ilk saldırı cüzdanının kamuya açık hâle gelmiş olması, borsaların iş birliği hâlinde hareket etmesi durumunda fonların izlenmesi için kritik bir avantaj sağlayabilir.
Bu son saldırı, ‘çekirdek protokol’ güvenliğinin tek başına yeterli olmadığını, *entegrasyon katmanı* ve özel adaptörlerin de aynı derecede kritik olduğunu bir kez daha gösterdi. DeFi platformları büyüdükçe, bu tür bağlantı noktalarındaki risklerin yönetimi ve bağımsız denetimi, ekosistemin geneli için zorunlu bir güvenlik standardı hâline gelmek zorunda.
Yorum 0