Bir Saç Kurutma Makinesi, Polymarket'teki 34.000 Doları Aldı

Bir saç kurutma makinesi, korumasız bir hava durumu sensörü, iki dikkatlice planlanmış işlem.

2026 yılının 6 Nisanı ve 15 Nisanı'nda, Paris Charles de Gaulle Havalimanı'ndaki Fransız Meteoroloji Dairesi'nin hava durumu probu, taşınabilir bir ısıtma cihazı ile ısıtılarak, sıcaklık okuması kısa bir süre içinde anormal bir şekilde yükseldi. Charles de Gaulle Havaalanı'nın gerçek sıcaklığı bu tür bir dalgalanma göstermedi, ancak Polymarket'te "Paris Günlük En Yüksek Sıcaklığı" için bahis oynayanlar normal şekilde ödeme aldılar. İki kez işlenen bu olay sonucunda, toplam 34000 dolarlık ödül, platformdan, olaydan sadece iki gün önce açılan anonim bir hesaba transfer edildi.

Bu tipik bir kripto saldırısı değil. Herhangi bir akıllı sözleşme açığından yararlanılmadı, merkezi olmayan bir yönetim sürecine karşı bir saldırı gerçekleştirilmedi. Saldırının tüm aracı, sadece bir saç kurutma makinesiydi.

Sıcaklık, 12 Dakikada Aniden 4°C Yükseldi - Bir Prob Nasıl Küresel Tahmin Piyasasını Aldattı?

6 Nisan akşamı 6:30 ile 6:42 arasında, Charles de Gaulle Havaalanı hava istasyonundaki sıcaklık okuması, 12 dakika içinde 4°C yükseldi ve 22.5°C'ye kadar yükseldi, ardından 5 dakika içinde hızla düştü. O gün Paris'in gerçek sıcaklığı bu tür şiddetli bir dalgalanma yaşamadı, çevredeki diğer hava istasyonları da benzer bir anormalliğe dair hiçbir kayıt tutmadı.

Söz konusu hava istasyonu (kod: LFPG), havaalanının pistine yakın, yol kenarındaki bir kamu alanına yakındır. Fiziksel konumunun nispeten açık olması, şüphelinin sensöre yaklaşıp fiziksel müdahalede bulunmasını mümkün kıldı.

Bu kısa süreli "yüksek sıcaklık" tam olarak Polymarket üzerindeki "21°C" seçeneğini vurdu, önceden neredeyse hiç ilgi görmeyen bir sonuç, platform tarafından bu anormallığın o günün en yüksek sıcaklığı olarak kabul edilmesinden sonra "Evet" olarak sonuçlandı. Arka planda, bir hesap yaklaşık 14000 doları aldı.

9 gün sonra, 15 Nisan akşamı 9:30 civarında, neredeyse tamamen aynı senaryo tekrar sahnelendi, parçalı bulutlu, rüzgarsız bir gece, Charles de Gaulle Havaalanı'nın sıcaklık okuması garip bir şekilde 22°C'ye yükseldi. Polymarket'teki "22°C" seçeneğinin olasılığı, sadece 30 dakika içinde %0.1'den %95'e fırladı. İkinci ödül, 20000 doların üzerinde, hala aynı hesaba gitti.

Fransız E-Meteo Servisi'nin kurucusu, meteorolog Paul Marquis, neredeyse tartışmasız bir teknik değerlendirme sundu: "O sırada rüzgar yönü ve bağıl nemde herhangi bir değişiklik olmadı, çevredeki diğer hava istasyonları da herhangi bir anormallik kaydetmedi. Fiziksel müdahale, örneğin ısıtma cihazını sensör probunun yakınına yerleştirmek gibi, en mantıklı açıklamadır."

Fransız Ulusal Meteoroloji Enstitüsü (Météo-France) daha sonra sensörlere fiziksel bir inceleme yaptı ve manipülasyon izlerini buldu ve resmi olarak Roissy Hava Taşımacılığı Jandarma Birliği'ne karşı suç duyurusunda bulundu. Suçlama "Otomatik Veri İşleme Sisteminin İşleyişini Bozmak" idi. Fransız yasalarına göre, bu suçlama en fazla 7 yıl hapis cezası ve 30.000 Euro para cezası ile cezalandırılabilir.

Olayıyla ilişkili hesabın profili de aynı şekilde inandırıcı değildi. Hesap sadece 2026 yılının Nisan ayının 4'ünde oluşturulmuştu, yani suçun işlenmesinden sadece 48 saat önce. İlk fonlama sadece birkaç on dolarlık bir miktarla, kripto para birimi borsası aracılığıyla yapıldı. Hesap neredeyse sadece "Paris Hava Durumu" gibi pazarlara katıldı ve yalnızca çok düşük olasılıklı "yüksek sıcaklık" seçeneklerine yatırım yaptı. İki kez kazandıktan sonra, fonlar hızla karıştırıcı ve merkezi olmayan borsa aracılığıyla transfer edildi, izleme zorluğu arttı.

Bir yanda evde yaygın olarak kullanılan, perakende fiyatı 30 Euro'nun altında olan bir saç kurutma makinesi, diğer yanda 200 milyon doları aşan günlük işlem hacmi olan küresel bir hava durumu tahmini pazarı, saldırı maliyeti ile saldırı getirisi arasındaki aşırı dengesizlik.

Olağandışı veriler ilk kez Fransız yerel hava durumu meraklıları tarafından Infoclimat forumunda keşfedildi. Olay daha sonra kripto topluluğu aracılığıyla İngilizce konuşulan dünyaya yayıldı, ardından Fransız Le Monde gazetesi, Le Figaro gazetesi ve BFMTV haber kanalı da haberi takip etti. Polymarket resmi olarak bu konuda herhangi bir açıklama yapmadı ve ödenmiş olan 34.000 dolarlık ödülü geri çekmedi.

Kurallardaki Boşluk, Bir Sensör Okuması Neden Altı Rakamlı Bir Ödülü Belirlesin?

Bu olayın asıl kahramanı, o saç kurutma makinesi değil, Polymarket hava durumu pazarının o hesaplama kurallarıdır.

Polymarket'ın hava durumu pazarları son yıllarda hızla büyüdü, şu anda 173 aktif pazarı bulunmakta, sıcaklık, yağış, kasırga, hortum, deprem, volkanik patlama hatta salgın gibi konuları kapsamaktadır. Bu pazarlardan biri olan "Paris Günlük En Yüksek Sıcaklık" pazarı, kullanılan hesaplama mekanizması son derece basitti, veri kaynağı Wunderground web sitesinde barındırılan belirli bir meteoroloji istasyonunun okumasına kitlenmişti.

Bu olaydan önce, bu site Paris Charles de Gaulle Havaalanı meteoroloji istasyonuydu (LFPG kodlu), sıcaklık tam sayı santigrat cinsinden veriliyordu. En önemli nokta, pazarın veriler kesinleştikten hemen sonra hesaplandığı ve "herhangi bir sonraki veri düzeltmesinin dikkate alınmadığıdır".

Son maddede belirtildiği gibi, Fransız Ulusal Meteoroloji Enstitüsü sonradan verilerde anormallikler keşfetse ve geçmiş kayıtları düzeltse bile, Polymarket hala ödülleri kirletilmiş orijinal okuma üzerinden ödemeye devam edecektir. Kurallar açıkça yazılmış ve kesinlikle uygulanmaktadır.

Belirsizlik üç noktada açıkça görülüyor:

Birincisi tek nokta arızası. Tüm altı haneli ödül havuzunun hesaplanması, tamamen bir sensörün okumasına bağlı. Polymarket, çoklu istasyon ağırlıklı, yedekli karşılaştırma veya aykırı değerlerin eritme mekanizması tasarlamadı, sözde "veri kaynağı", Charles de Gaulle Havalimanı pistinin yanındaki o metal prob.

İkincisi fiziksel erişilebilirlik. Charles de Gaulle Havaalanı hava istasyonu pistin kenarında, yolun hemen yanındaki kamusal alanda bulunmakta olup herhangi bir sıradan insan probun birkaç metre yakınına kadar yürüyebilir. Bu coğrafi detay, "fiziksel müdahale" eşiğini teorik olasılıktan neredeyse sıfır maliyetli bir gerçek işleme dönüştürmektedir.

Üçüncüsü, uzlaşma mekanizmasının katılığı. Sonradan yapılan düzeltmeler geçersizdir, bu da bir kez gerçekleştirilen saldırının "iptal edilmesi" olasılığının olmadığı anlamına gelir. Kurallar bir yandan uzlaşmanın belirlenmesini sağlarken, diğer yandan bir kez manipülasyon gerçekleştiğinde geri dönüşün mümkün olmadığını garanti etmektedir.

Fibo Crypto analisti Victor, bu tür taktiklere oldukça teknik olarak estetik bir isim verdi, "fiziksel orak saldırısı". UMA yönetişim oylamasına karşı gerçekleştirilen ve büyük ölçekli jeton oylamasına dayanan "sayısal orak saldırıları"ndan farklı olarak, fiziksel orak saldırısı, tüm zincir boyunca mantığı atlayarak, doğrudan veri boru hattının ilk kilometre noktasına etki etmektedir - gerçek dünyada o metal prob.

17 Nisan'da, olayın ortaya çıkmasından iki gün sonra, Polymarket sessizce bir kural değişikliği yaptı ve Paris Hava Durumu pazarının uzlaşma veri kaynağını Charles de Gaulle Havalimanı'ndan (LFPG) Paris-Le Bourget Havaalanı'na (LFPB) değiştirdi. Değişiklik resmi bir duyuru olmadan yapıldı, herhangi bir teknik açıklama yapılmadı ve gerçekleşen iki manipülasyona herhangi bir yanıt verilmedi.

Bir probu değiştirmek, bir açığı açıkça kabul etmekten çok daha kolaydır. Polymarket hava durumu pazarı başlangıçta geleceğe yönelik piyasa kolektif değerlendirmesini yansıtan bir ayna olarak tasarlanmıştı. Ancak ayna içindeki görüntü yeterince değerli hale geldiğinde, oranlar yeterince dik hale geldiğinde ve proba ulaşmak çok kolay olduğunda, her zaman birileri 30 Euro'luk bir saç kurutma makinesiyle gelip istedikleri sonucu içeri üfleyecektir.

BlockBeats Resmi Topluluğuna Katılın:

Telegram Abonelik Grubu: https://t.me/theblockbeats

Telegram Sohbet Grubu: https://t.me/BlockBeats_App

Twitter Resmi Hesabı: https://twitter.com/BlockBeatsAsia