Karar: evet, para yatırmadan önce anlamanız gereken dört spesifik riskle birlikte. Polymarket 2020’deki lansmandan bu yana kullanıcı fonu kaybetmedi. Self-custodial, on-chain ve operasyonel olarak kriptodaki daha şeffaf mekanlardan biri. Önemli olan riskler, FTX’i öldürenler değil. Polygon üzerinde smart contract riski, UMA üzerinde çözüm varyansı, ABD düzenleyici karmaşıklığı ve embedded cüzdanlardaki email recovery zayıflığı.
Bu odaklanmış bir güvenlik incelemesi, bir buy-decision yazısı değil. Tam özellik puanlaması için Polymarket incelemesi bölümüne bakın. Doğrulama özellikleri için KYC gereksinimleri rehberi bölümüne bakın. Burada pazarlamayı sıyırıyoruz ve Polymarket’te para kaybedebileceğiniz her maddi yolu, gerçekçi sıklığa göre sıralıyoruz.
Yatırım tavsiyesi değildir. Tahmin piyasaları spekülatiftir. Self-custody, güvenlik sorumluluğunu sana yükler. Para yatırmadan önce yargı alanında neyin yasal olduğunu doğrula. Ölçeklemeden önce risk uyarısı bölümünü oku.
Kısa cevap
2026’da Polymarket, çoğu merkezi kripto borsasından bir spesifik boyutta operasyonel olarak daha güvenli, fonlarınla çökemez, çünkü fonlarını tutmaz, ve başka bir boyutta operasyonel olarak daha riskli, bir borsanın senin için uyguladığı her güvenlik uygulaması (cold storage, withdrawal whitelist, login üzerinde 2FA, parola kurtarma) senin işin haline gelir. Bu ödünleşmeyi anlıyor ve kabul ediyorsan, platform kriptodaki en güvenilir non-custodial mekanlardan biri. Onu bir merkezi borsa gibi ele alır ve başkasının anahtarları izlediğini varsayarsan, sonunda kurtarılabilir bir hatadan para kaybedersin.
Bilinmesi gereken dört risk, gerçekten kullanıcıları ne sıklıkla ısırdığına göre kabaca sıralanmış:
- UMA oracle çözüm varyansı, belirsiz ifade edilen piyasalarda
- Email veya cüzdan ihlali, kullanıcının kendisi tarafından
- İnce likiditeli piyasalar, geniş spreadler ve geri kazanılamaz slippage ile
- Düzenleyici erişim değişiklikleri, ülkende withdrawal’leri kilitleyen
Bu listeye ait olmayan riskler, borsa çöküşü, operatör dolandırıcılığı ve platform düzeyinde fon hırsızlığı. Hiçbiri Polymarket’te olmadı ve mimari ilk ikisini yapısal olarak zorlaştırıyor.
Polymarket hiç hacklendi mi?
Protokolün 2020’den beri ömrü boyunca platform düzeyinde fon kaybı kaydedilmedi. Bu, 2024 seçim döngüsünü içeriyor, o sırada birkaç ay içinde Polymarket piyasalarından 3,6 milyar doları aşan hacim geçti, kullanıcı fonlarını etkileyen bir olay yaşanmadan. Piyasa kontratları, 2019’dan beri canlı olan ve Polymarket’in çok ötesindeki dağıtımlarda birçok kez denetlenen Gnosis Conditional Token Framework’ünü kullanıyor. Polymarket’e özgü emir defteri kontratları open source ve ölçekli olarak production’da çalışıyor.
Kullanıcı düzeyinde meydana gelen olaylar, hiçbiri protokol sorunu olmayan iki kategoriye ayrılıyor:
- Phishing. Sahte Polymarket siteleri ve Discord dolandırıcılıkları, kullanıcılardan, işlem veya seed phrase imzaladıkları kişilerden, fon çaldı. Bu, Polymarket’e özgü değil, Web3 genelinde bir sorun.
- Privy embedded cüzdanlarında email hesabı ele geçirilmesi. Email ile kayıt olan ve o email adresinin kontrolünü kaybeden kullanıcılar, embedded cüzdana erişimi kaybetti. Platformun email’in kendisinin ötesinde bir recovery yolu yok.
Her ikisi de user-side hatalar. Her ikisi de standart güvenlik hijyeniyle önlenebilir: cüzdan bağlamadan önce URL’yi doğrula, asla seed phrase paylaşma, Privy cüzdanın arkasındaki email’i master credential olarak ele al ve hardware-key 2FA ile kilitle.
Custody ve counterparty riski
Polymarket olağan borsa modelini ters çevirir. Havuzlanmış kullanıcı fonları tutan bir operatör hesabı yoktur. USDC kullanıcının kontrolündeki cüzdanlarda durur ve işlemler Polygon üzerindeki smart contract’lar aracılığıyla takas edilir. Sonuçlar:
- FTX-style başarısızlık modu yok. Bir operatör asla bilançosuna girmeyen fonları rehypothecate edemez veya sessizce ödünç veremez. Mt. Gox, QuadrigaCX ve FTX’i silen başarısızlık sınıfı yapısal olarak yok.
- Sigorta fonu gerekmiyor. Merkezi borsalar custody tuttukları için sigorta fonu işletir. Polymarket’e gerek yok çünkü platformun asla anahtarları yok.
- Aynı anlamda proof of reserves gerekmiyor. Rezervler on-chain görünür. Polygon block explorer’a sahip herhangi biri conditional token arzını açık pozisyonlara karşı doğrulayabilir.
Bunun ters tarafı, farklı bir counterparty alıyor olman: smart contract’lar ve oracle. Her ikisi de açık ve denetlenebilir. Hiçbiri Polymarket’te protokol düzeyinde başarısız olmadı. Her ikisi de prensipte başarısız olabilir. Her ikisinin de gerçekçi olasılığını düşük ama sıfırdan farklı olarak değerlendiriyoruz, aynı zaman ufkunda rastgele bir mid-tier merkezi borsanın bir custody olayı yaşamasının gerçekçi olasılığından önemli ölçüde düşük, ama sıfır değil.
Smart contract riski
Önemli olan iki kontrat katmanı:
- Conditional Token Framework (CTF). Tahmin piyasası sonuçları için token standardı, başlangıçta Gnosis tarafından inşa edildi, 2019’dan beri production’da, birden fazla firma tarafından denetlendi ve Polymarket dışındaki diğer tahmin protokolleri tarafından da kullanılıyor. İstismar edilmedi.
- Polymarket CLOB ve AMM kontratları. Polymarket’e özgü emir defteri eşleştirme ve on-chain takas kontratları. Open source, denetlenmiş ve en yüksek hacimli dönemler boyunca (2024 seçim döngüsü) production’da olaysız çalıştı.
Gerçekçi maruz kalma, herhangi bir katmanda veya bunların Polygon’un USDC kontratıyla etkileşiminde önceden keşfedilmemiş bir hatadır. Hafifletme, herhangi bir DeFi maruziyeti için standart olandır: aktif pozisyonlar için ihtiyacın olanın ötesinde tek bir protokolde fon tutma. Polymarket’te idle sermayeyi bırakacak bir şey yok, staking yok, yield yok, native token yok. İşlemler için kullan; geri kalanı çek.
UMA oracle riski: beklenmeyen kayıpların ana kaynağı
Bu, Polymarket’teki beklenmeyen kayıpların en büyük kaynağı. Piyasalar bir Polymarket admin’i veya bir hakem paneli aracılığıyla çözülmez. UMA optimistic oracle aracılığıyla çözülür. Bir öneren bir sonuç ileri sürer ve 750 USDC bond yatırır; dispute penceresi açılır; kimse itiraz etmezse, sonuç kesinleşir; biri itiraz ederse, UMA’nın DVM token sahipleri çözüm üzerinde oy kullanır.
Çoğu piyasa temiz bir şekilde çözülür çünkü sonuç belirsiz değil. Risk üç desende yaşıyor:
- İfade belirsizliği. “X, Y tarihine kadar olacak mı” piyasaları bazen sorunun bariz haber yorumundan farklı katı bir okumayla çözülür. Bir politikacının açıklaması, bir sporcunun sözleşme durumu, bir kurumsal karar hakkındaki bir piyasa, hangi kelimelerin tetikleyici sayıldığına bağlı olabilir.
- Dispute penceresinde breaking news. Bir piyasa öğleyin YES olarak çözülür. Saat 13:00’te cevabı değiştirmesi gereken yeni bilgi yüzeye çıkar. Dispute penceresi iki saat daha açık. Disputelar dosyalanır; DVM oylaması günler sürer; nihai sonuç ters dönebilir.
- Adversarial çözüm. Belirsiz bir piyasanın kaybeden tarafındaki büyük pozisyonların itiraz etme, bond yatırma ve DVM oylamasını kendi yönlerine sallamaya çalışmak için ekonomik teşviki var. Çoğu dispute, ilgisiz gözlemcilerin beklediği gibi çözülür, ancak varyans sıfırdan farklı.
Hafifletme kullanıcının elinde. Girmeden önce her piyasanın çözüm kurallarını oku. Çözüm kriterlerinin sübjektif olduğu, ifadenin bariz belirsizlik bıraktığı veya çözüm tarihinin bilinen bir haber penceresi içinde oturduğu piyasalardan kaçın. Sert, belirsiz olmayan kriterleri olan headline piyasaları (Fed faiz kararları, sertifikalı seçim sonuçları, açık skor tablosu olan spor sonuçları) sıfıra yakın oracle riski taşır. Sübjektif konulardaki niş piyasalar, sorunun kendisi üzerinde ne kadar “araştırma” yapılırsa yapılsın hedge edilemeyen anlamlı oracle riski taşır.
Operasyonel ve frontend riski
Bu kategoriye birkaç madde:
- Closed-source frontend. Polymarket web uygulaması closed source. Frontend çökerse, fonların hala on-chain ve alternatif arayüzler aracılığıyla kurtarılabilir, ancak rutin UX (göz atma, emir verme, pozisyonları görüntüleme) kesintiye uğrar.
- Privy embedded cüzdan kurtarma. Email ile kayıt olduysan, Privy embedded cüzdanın recovery yolu email hesabıdır. Email’e erişimi kaybet, cüzdana erişimi kaybedersin. Email’i master credential olarak ele al: ayrı adres, hardware-key 2FA, password manager.
- Kasım 2024 kurucu/düzenleyici olayı. Federal ajanlar, ABD kullanıcı erişimiyle ilgili bir soruşturmanın parçası olarak kurucu Shayne Coplan’ın dairesini aradı. Platform çalışmaya devam etti, hiçbir fon dondurulmadı ve Polymarket daha sonra 2025’te yasal ABD erişimini geri getirmek için QCEX-lisanslı kuruluşu satın aldı. Olay doğası gereği düzenleyici ve kullanıcı custody’sini etkilemedi, ancak düzenleyici ortamın platform kararlarını nasıl şekillendirdiğine dair faydalı bir veri noktası.
- Ülkenden frontend kilitlemesi. Polymarket, kısa sürede restricted listesine ülkeler ekleyebilir. Cüzdanın kendisi senin kalır, fonlar alternatif Polygon arayüzleri aracılığıyla kurtarılabilir, ama pozisyonlara girmek için kullandığın UX sana erişilebilir olmaktan çıkabilir.
Düzenleyici risk
Özet, KYC gereksinimleri rehberi bölümünde detaylı:
- Amerika Birleşik Devletleri. Wallet yolu engellendi. Yasal erişim sadece tam KYC ile QCEX üzerinden.
- Restricted yargı alanları Mayıs 2026 itibarıyla: Birleşik Krallık, Fransa, Belçika, Quebec, Singapur, Japonya, Tayvan, Tayland artı OFAC-yaptırımlı bölgeler. Liste fazla bildirim olmadan güncellenir.
- Diğer ülkelerin çoğu. Gri bir bölgede çalışıyor, açıkça lisanslı değil ve açıkça yasaklı değil.
Ülkende düzenleyici erişimin değişmesi mevcut fonlarını risk altına atmaz; on-chain custody senin. Resmi frontend aracılığıyla pozisyonlara girme ve çıkma yeteneğini risk altına atar. Ülken marjinal görünüyorsa, uzun ufuklarda açık pozisyonlarda maddi sermaye park etme.
Polymarket’in merkezi bir borsayla karşılaştırılması
Yan yana risk merceği:
| Risk boyutu | Polymarket (wallet path) | Merkezi borsa (BingX, Bybit, OKX) |
|---|---|---|
| Operatör başarısızlığı / custody çöküşü | Yapısal olarak yok | Gerçek, PoR ve sigorta fonu ile hafifletildi |
| Smart contract riski | Gerçek, düşük tarihsel olay | Daha düşük (off-chain eşleştirme) |
| Oracle / takas riski | UMA dispute varyansı | Yok (operatör takas eder) |
| Platformun kendisinin hacklenmesi | Bugüne kadar yok | Sektörde birkaç tarihsel olay |
| User-side custody riski | Email ve seed phrase ihlali | Hesap ele geçirme, daha zayıf ama sıfırdan farklı |
| Düzenleyici erişim değişikliği | Restricted listesine ülke eklendi | Restricted listesine ülke eklendi |
| Withdrawal kilitleme riski | Yok | Gerçek (operatör withdrawal’leri askıya alabilir) |
Her iki mekan sınıfı da gerçek risk taşıyor. Riskler sadece farklı yerlerde yaşıyor. Polymarket, operator-failure modunu kaldırma karşılığında güvenlik sorumluluğunun daha fazlasını kullanıcıya yükler. Merkezi borsalar güvenlik işinin daha fazlasını üstlenir ve onu operatör güvenine değiştirir. Hiçbiri evrensel olarak daha güvenli değil; her ikisi de ağırbaşlı bir muamele hak ediyor.
Polymarket kullanıcılarını ne öldürür (ve ne öldürmez)
Gerçekten insanlara para kaybettirdiğini gördüğümüz şeyler:
- Belirsiz ifade edilen tek bir piyasada konsantrasyon
- UMA dispute penceresi içinde kuralları okumadan trading
- Sahte Polymarket Discord linkleri ve X DM’leri aracılığıyla phishing
- Privy cüzdanına bağlı adreste email ihlali
- 5–10 sent spreadli ince likiditeli piyasalar, pozisyon slippage’i geri alamıyor
- Çıkış yapmadan önce resmi frontend’i kilitleyen coğrafi kısıtlama sürprizleri
Pazarlama korkusuna rağmen olmayan şeyler:
- Platform düzeyinde hırsızlık. Olmadı.
- Operatör çöküşü. Mimari olarak zor.
- Ölçekli oracle saldırısı. Polymarket piyasasında olmadı.
- Frontend’in kalıcı olarak karararak fonların mahsur kalması. Fonlar on-chain ve kurtarılabilir.
Yukarıdakilerin çoğunu önleyen alışkanlıklar
- Privy cüzdanının arkasındaki email’i master credential olarak ele al. Hardware-key 2FA, ayrı adres, password manager. Email giderse, cüzdan gider.
- Polymarket aktivitesi için temiz bir cüzdan kullan. Yeni adres, Tornado Cash geçmişi yok, flag’lı etkileşim yok.
- Her piyasanın çözüm kurallarını oku. İfade belirsizse, pozisyon büyüklüğü küçük olmalı.
- Sübjektif çözüm kriterleri olan piyasalardan kaçın. Sert, scoreboard tarzı kriterler sıfıra yakın oracle riski olan tek kriterlerdir.
- Tahsisin maddiyse seanslar arasında çek. Anahtarların altında kendi cüzdanındaki USDC, sık giriş yapmadığın bir Privy embedded cüzdanında oturan USDC’den daha güvenlidir.
- Yasaklı bir ülkeden VPN ile girme. Tespit iyi. Yakalanan hesapların fonları donduruluyor ve terms of service uyarınca geri alma talebin yok.
Karar
Polymarket, kullanıcı fonlarını tarihsel olarak öldüren boyutlarda tipik bir merkezi kripto borsasından daha güvenlidir (operatör çöküşü, custody hırsızlığı, withdrawal askıya alma) ve kullanıcının güvenlikten sorumlu olduğu boyutlarda daha az affedicidir (anahtar yönetimi, email kurtarma, piyasa kurallarını dikkatlice okuma). Disiplinle kullanıldığında, kriptodaki en güvenilir non-custodial mekanlardan biri. Dikkatsizce kullanıldığında, hiçbir güvenlik ağı sunmuyor, phishlenmiş bir imzayı veya ters yöne giden bir oracle çözümünü geri alabilecek bir destek ekibi yok.
Tek bir karar kuralı istiyorsan: bir piyasa çözümüne kaybetmeyi göze alabileceğin kadarını yatır, asla bir custodian’a değil, ve Polymarket’i mimarinin tasarlandığı şekilde kullanıyor olacaksın.
Sonra okuyun
- Polymarket incelemesi. Tam özellik dökümü ve puanlama.
- Polymarket KYC gereksinimleri. Doğrulama, restricted ülkeler, QCEX yolu.
- Polymarket’e nasıl kayıt olunur. Email ve cüzdan onboarding.
- Polymarket’ten nasıl çekilir. Self-custody’ye çıkış.
- Metodoloji. Platformları nasıl değerlendiriyoruz.
- Risk uyarısı
Polymarket’i aç: polymarket.com. Detay için partner açıklaması bölümüne bak.
Sıkça sorulan sorular
Polymarket hiç hacklendi mi?
2020'deki lansmandan bu yana platform düzeyinde hiçbir kullanıcı fonu kaybı kaydedilmedi. Polygon üzerindeki Polymarket piyasa kontratları (Gnosis Conditional Token Framework artı Polymarket emir defteri kontratları) istismar edilmedi. En yakın olaylar, Privy destekli embedded cüzdanlarda phishing ve email hesabı ele geçirilmesi yoluyla bireysel kullanıcı cüzdan ihlalleridir, ki ikisi de protokolün kendisindeki bir kusuru yansıtmıyor.
Polymarket paramı alabilir mi?
Wallet yolunda, hayır. USDC işlemler arasında kendi self-custodial cüzdanında durur. Polymarket'in kullanıcı bakiyeleri üzerinde admin anahtarı yoktur ve kontrat mimarisi operatörün kullanıcı fonlarını taşımasına izin vermez. Etkili olarak erişimi kaybedebileceğin iki senaryo: (1) Privy embedded cüzdana bağlı email'in ele geçirilmesi, çünkü email recovery oradaki master credential, ve (2) yasaklı bir ülkeden VPN kullanmak, bu durumda platform, terms of service uyarınca hesabı dondurabilir.
Polymarket'teki en büyük gerçek risk nedir?
UMA optimistic oracle çözüm varyansı. Çoğu piyasa temiz bir şekilde çözülür, ama belirsiz ifade edilen piyasalar ve dispute penceresi sırasında breaking news olan piyasalar bariz görünen sonucun aksine çözülebilir. Bu dolandırıcılık değil, optimistic oracle tasarlandığı şekilde çalışıyor, ve Polymarket'teki beklenmeyen kayıpların en büyük kaynağı bu. Girmeden önce her piyasanın çözüm kurallarını dikkatlice oku.
Polymarket merkezi bir kripto borsasından daha mı güvenli?
Farklı risk şekli, kesinlikle daha güvenli değil. Self-custody, FTX-style operatör başarısızlık modunu tamamen ortadan kaldırır, fonlar bir borsa çöküşünde yok olamaz çünkü hiçbir zaman bir borsada değildi. Karşılığında, Polygon üzerinde smart contract riski, UMA üzerinde oracle riski, closed-source Polymarket uygulamasında frontend erişilebilirliği riski alıyorsun ve wallet yolunda anahtar/email güvenliğinden kişisel olarak sorumlusun. Her iki risk sınıfı da gerçek, sadece farklı şekilde.
Polymarket düzenlemeli mi?
Wallet tabanlı polymarket.com uygulaması çoğu yargı alanında finansal bir mekan olarak düzenlenmemiş; self-custodial bir dApp olarak çalışıyor. Polymarket'in 2025'te satın aldığı QCEX markalı ABD ürünü, CFTC tarafından designated contract market olarak tam KYC ile düzenleniyor. ABD dışında durum değişiyor: hiçbir yerde lisanslı değil, Birleşik Krallık, Fransa, Belçika, Quebec, Singapur, Japonya, Tayvan ve Tayland'da yasak ve diğer yerlerde gri bir bölgede çalışıyor. Düzenleme, güvenlikle aynı şey değil ama bir şeyler ters giderse yasal başvurunu etkiler.
Kurucu üzerindeki FBI baskını ne durumda?
13 Kasım 2024'te federal ajanlar, ABD kullanıcı erişimiyle ilgili bir soruşturmanın parçası olarak Polymarket kurucusu Shayne Coplan'ın dairesini aradı. Platformun kendisi kesintisiz çalışmaya devam etti, hiçbir fon dondurulmadı ve soruşturmayı 2025'te yasal ABD erişimini geri getiren QCEX satın alımı izledi. Olay düzenleyici sorular ortaya attı, ABD dışındaki kullanıcılar için custody veya counterparty sorusu değil.
Polymarket'te büyük miktarlar tutmalı mıyım?
Polymarket'i herhangi bir tek mekan gibi ele al: üzerinde sadece açık pozisyonlara aktif olarak tahsis ettiğin miktarı artı bir çalışma tamponu tut. Platformda dahili faiz, staking veya orada idle USDC bırakmak için bir neden yok. Tahsisin büyükse trading sessionları arasında kendi cüzdanına çek. Self-custody bir araç, garanti değil.
Polymarket piyasalarının kendileri hileli mi?
Koordineli anlamda değil. Emir defterindeki fiyatları Polymarket değil, traderlar belirler. Piyasaların beklentilere aykırı çözülebileceği gerçekçi yollar şunlardır: (1) UMA oracle'ın katı bir okumayla çözdüğü ifade belirsizliği, (2) dispute penceresi içindeki breaking news ve (3) bir büyük traderın fiyatı adil değerden uzaklaştırabileceği ince likiditeli piyasalar. Bunların hiçbiri platform dolandırıcılığı değil; hepsi girmeden önce kuralları ve emir defterini okumak için sebep.
#Polymarket#güvenlik#tahmin piyasaları#UMA#smart contract#self-custody