Changelog

Topluluk için iki değişiklik birlikte geliyor. (1) Günlük giriş artık düz bir programla bedava paket dağıtmıyor — her gün [3,3,3,5,5,5,8] döngüsüyle paket parçaları veriyor ve ardışık bir haftayı tamamlamak yükselen bir paket bonusu (1 → 2 → 3 → 4, tavan 4) sağlıyor. Bir günü kaçırırsan seri sıfıra düşer — o haftayı bitir ve çapa ödülünü kap. (2) Profil sekmesinde kod kullanmak için yeni bir bölüm (ör. WELCOME-2026, partner kodları, içerik üreticisi çekilişleri). Kodlar paket, parça ve nadirlik parçacıklarının her bileşimini verebilir; admin yeni Kodlar sekmesinden oluşturur, isteğe bağlı kullanım tavanı ve son geçerlilik tarihiyle.

Bugüne dek arayüz kromu yerelleştirilmişti ama kart içeriği İngilizce kalıyordu: isimler, flavor satırları, yetenek isimleri ve açıklamaları seçtiğin dilden bağımsız İngilizce görünüyordu. 113 kartın tamamını İspanyolca (İspanya + LATAM yedek), Fransızca, İtalyanca, Almanca, Portekizce (BR + PT yedek), Lehçe, Hollandaca, Rusça ve Türkçeye çevirdik — yani kanonik isim artı flavor, artı varsa aktif ve pasif yetenek isim ve açıklamaları. İngilizce sunucu yükü veritabanı için yetkili olmaya devam ediyor; ekranda gördüğün, diline göre istemcide üstüne biniyor, böylece bir kartın kimliği dil geçişlerinde ve takaslarda aynı kalıyor. Bir kartın bir alanı için çeviri eksikse İngilizce metne düşer — asla boş bir alana değil.

Toplu Eritme lansmanından sonra oyuncu geri bildirimi: changelog "parti başına 50'ye kadar" diyordu ama bir kartın yalnızca 21 kopyasına sahip oyuncu 20 tavanına çarpıp bir şeyin bozuk olduğunu sandı. Hiçbir şey bozuk değildi — sunucu "her kartın en az 1 kopyasını koru" kuralını uyguluyor, dolayısıyla 21 kopyalık bir yığın bir defada 20'de tavan yapıyor. Tavan her zaman min(sunucu max 50, uygun kopya, toplam kopya − 1) idi; sadece görünmezdi. Artık giriş butonunun etiketi parti tavanını tam olarak "M uygunun N'si maks" biçiminde söylüyor, üzerine gelindiğinde görünen ipucu bağlayıcı kısıtlamayı (sunucu tavanı, uygunluk veya koru-1) açıklıyor. Seçim panelinin başlığı kısıtlamayı tekrar ediyor, böylece tahmin etmek zorunda kalmıyorsun.

Biriktirenler, bu size. Sıradan kopyaları tek tek eritmek herkesin kullanıcı başına rate-limit penceresini yakıyordu — tek bir kartın 80 sıradanına sahip bir oyuncu bunları gerçekçi biçimde tek seferde temizleyemiyordu. Kart detay görünümü artık var olan kopya başına Eritmenin altında bir "Toplu Eritme..." butonu gösteriyor; baktığın kartın en az 2 uygun kopyası olduğunda görünür. Tıkla, bir karo ızgarasından hangi baskı numaralarını yok edeceğini seç (kilitli / destedeki / aktif takastaki kopyalar soluk ve devre dışı), ve tüm parti tek bir onay + tek bir rate-limit slotuyla geçer. Sunucu tavanı çağrı başına 50, bu yüzden yanıt hep hızlı. Ödül önizlemesi, Hepsini Yok Et tuşuna basmadan önce alacağın tam parça + nadirliğe özgü parçacık sayılarını gösterir.

İki küçük ama görünür yaşam-kalitesi iyileştirmesi. Koleksiyon sekmesinde, kullanılabilirlik açılır menüsü 30 gün içinde sona erecek kartlara grid'i süzen "Yakında Rotasyonda" seçeneğini kazandı — bu kartlarda zaten bir süredir görünen rozetle aynı eşik, dolayısıyla filtre ve rozet her zaman uyumlu. Turnuva sekmesinde, lonca turnuvaları artık sıralama panelini herhangi bir ziyaretçiye gösteriyor — yalnızca kayıtlı katılımcılara değil. Öncesinde bir lonca turnuvasını açar, katılımcıları görür ama loncan kayıtlı değilse bracket göremezdin. Şimdi genel sıralama paneli herkese render ediliyor ve sunucunun zaten döndürdüğü aynı verileri okuyor — kimin önde olduğunu önce kayıt olmadan görebilirsin.

14 alanlık düşmanca inceleme süpürmesinin son alanı — build pipeline'ları ve CI gate'leri. Değişikliklerin çoğu oyuncular için görünmezdir (`.github/workflows/` ve `scripts/` içinde yaşar) ama kaliteyi "yalnızca yerel, --no-verify bypass ile" durumundan "her PR'de merge'i bloke eder" durumuna kaydırıyor. Tam vitest suite'i (~2700 test), TypeScript type-check, Drizzle drift gate, i18n anahtar paritesi, BullMQ pin, battle-config doğrulaması ve bare-db-execute baseline'ı artık her PR'de CI'da çalışıyor. Üretim CVE taraması, orta düzey güvenlik açıklarını ortaya çıkaran muafiyet bilincine sahip bir gate kazandı (önceki eşik bunlardan altısını susturuyordu). Cookie consent banner'ının kullandığı IAB Global Vendor List artık her gün, vendor listesi değiştiğinde PR açan zamanlanmış bir workflow ile yenileniyor. Battle suite'inde iki skipped test izlenebilir referanslar taşıyor (T-201, T-202) ve yeni bir invariant gate, etiketsiz gelecekteki herhangi bir skip'te build'i çökertiyor, böylece ölü kod birikmiyor.

Gözlemlenebilirlik ve audit pipeline'ı üzerinde bir geçiş, gizlilik politikasının söylediği ile sunucunun gerçekte yaptığı arasındaki boşluğu kapattı. Oyuncular için görsel olarak hiçbir şey değişmedi ama altında birkaç şey iyileşti: Node.js süreci artık yakalanmamış hataları sessizce çökmek ve platformun açıklamasız yeniden başlatmasına izin vermek yerine kayıt ediyor ve sayıyor; audit_log tablosu artık gizlilik politikasının vaat ettiği 90 günlük saklama penceresini zorlayan bir cron ile her gün budanıyor; oyuncu görüntülenen adları artık sunucu log satırlarından redacted (GDPR'nin 30. Maddesi görüntülenen adları kişisel veri olarak değerlendirir); ve güvenlik olayı audit pipeline'ı dayanıklılık kontrolleri ve aksiyon başına IP-hash menşei kazandı, böylece bir düzenleyici denetimi herhangi bir hesap aksiyonunu zaman damgası, aktör ve menşe ile yeniden inşa edebilir.

Yasal + onay yüzeyinden geçilen tur, uzun bir uyumluluk açıkları listesini kapattı. Manşetler: IAB TCF v2.3 onay dizesi artık bir base64(JSON) shim'i değil, @iabtechlabtcf/* kütüphanelerinin ürettiği resmi bit-packed format — Google AdSense'in çözümleyicisi 2026-03-01 son tarihinden beri shim'imizi reddediyordu ve bu, AB ziyaretçilerini sessizce Limited Ads'e düşürüyordu. Onay banner'ındaki her tercih (Tümünü kabul et / Tümünü reddet / Özelleştir / geri çekme / version-bump uyarısı / yeniden açma) artık audit_log'a kalıcı bir satır yazıyor, böylece GDPR Madde 7(1) sorgusunda onayı kanıtlayabiliyoruz. Kayıttaki 16+ yaş onayı ve Kullanım Koşulları kabulü artık Better Auth additional fields üzerinden sunucu tarafında zorunlu — önceki yalnızca-istemci checkbox'ı curl ile atlatılabiliyordu. Gizlilik politikası artık placeholder metin yerine gerçek üçüncü tarafları adlandırıyor (barındırma için Arsys + reklam için Google AdSense) — Postgres ve Redis, operatör tarafından yönetilen Arsys altyapısında çalışır ve ayrı işleyiciler değildir. Hesap silme artık çok daha geniş bir kişisel veri tablosu kümesini siler (arkadaşlıklar, lonca üyeliği, turnuva kayıtları, biletler, ad-watch geçmişi, provably-fair tohumları, doğrulama jetonları ve birkaç tane daha), audit_log ile önceki ilişkilendirilebilirliği kıran kripto-rastgele takma ad sonekini kullanır, tamamen silinmiş bir hesap için silme isteğini yeniden oluşturmayı reddeder ve geçici bir hata sonsuza dek döngüye girmesin diye cron retry'larını sınırlandırır. Veri dışa aktarma eseri altı yeni bölüm kazandı (lonca üyeliği, turnuvalar, arkadaşlıklar, destek biletleri, ad-watch geçmişi, provably-fair tohum geçmişi) ve bölüm başına satır tavanları getirildi, böylece bir power user dışa aktarma build'ini OOM'a düşüremiyor. Onay banner'ı artık focus trap ve aria-modal'lı gerçek bir modal diyalog, dil seçici her breakpoint'te görünür (mobilde gizliydi) ve admin banları artık ihlal edilen kuralı ve itiraz yolunu içeren DSA Madde 17 Gerekçeler Bildirimini uygulama içi bildirimle iletiyor. Ayrıca: pakete dahil yeni bir IAB Global Vendor List ve günlük yenileme scripti, böylece sağlayıcı kapsamı değişiklikleri sapmıyor, AdSense first-party çerezleri onay geri çekildiğinde artık gerçekten siliniyor (eskiden yalnızca script etiketi söküldüğü için), ve hesap silme + veri dışa aktarma uç noktalarında token tabanlı yeni bir CSRF kapısı, böylece sahte form içeren bir saldırgan sayfa giriş yapmış bir ziyaretçi için silme geri sayımını tetikleyemiyor. Onay sürümü 3.1'den 3.2'ye yükseltildi — her ziyaretçi bir sonraki ziyaretinde güncellenmiş işleyici listesi altında yeniden onaylamak için banner'ı bir kez görecek.

A pass through the bilingual surface closed every visible English-only chrome remnant on Spanish pages and tightened a few middleware + SEO gaps. Headline items: the marketing nav (About / How to Play / Cards / FAQ / Contact / Updates / Log in / Play for Free), every legal-page header link, the global cookie-consent banner, the offline banner, and the language-switcher screen-reader label all read from the active-locale message bundle now — Spanish visitors no longer see English wrappers around Spanish copy. The language switcher is also visible on phones (was hidden under the sm: breakpoint), so a visitor landing on the wrong locale on mobile can finally jump in-page. Changelog dates are stored as ISO YYYY-MM-DD and rendered through Intl.DateTimeFormat per locale — Spanish visitors see "26 de abril de 2026" / English visitors see "April 26, 2026". Email addresses across the legal + contact surface have been unified to a single canonical contact@drawntcg.com so visitors don't have to guess between info / privacy / support inboxes. A new /robots.txt now points crawlers at the per-locale sitemap, and link-preview crawlers (Slack, Discord, iMessage, Twitter) get an Open Graph card with the right locale tag. A subtle middleware bug that made the <html lang="…"> attribute always say "es" on /en/* pages — silently breaking screen-reader locale routing and Google's hreflang verification — has been fixed.

A pass through the anticheat surface (provably-fair seeds, replay sanitization, spectator state, collusion-detection telemetry) closed a small list of subtle but real defects. Headline items: pack-opening seed rotation is now atomic against in-flight pack opens, so a verifier replay can never reproduce N−1 of N openings while the Nth orphan dangles unverifiable; replay history scrubs raw player ids out of turn-log strings before persistence so the publishable replay file truly cannot be cross-correlated by id; spectator state strips two alpha-strategy hints (adrenaline counters and per-turn summon counts) that pre-fix flowed through unmasked; provably-fair seed rotations and client-seed changes are now durably audited so a player dispute has a recoverable trail; the history endpoint no longer 500s on garbage page params and no longer leaks raw Postgres errors to clients.

A pass through tournaments, guilds, the profile sections, and the in-battle internals fixed a long list of small bugs and added the visible affordances that were missing. Headline items: viewing a stranger's profile now tells you why bio / display case / achievements are hidden ("add as friend to see more") instead of rendering blank sections; achievement toasts auto-dismiss after 6 seconds (and cap at 5 visible at once) instead of stacking forever; every in-battle action — summon, attack, ability, mulligan, end turn, forfeit — now has a 5-second "no response from server" safety net so a flaky socket can't leave the UI stuck pending; the forfeit button uses an in-app modal instead of the browser's native confirm() popup that iOS PWAs sometimes silently suppress; the tournament bracket marks forfeit / disconnect / bye matches with a small badge so admins and spectators can tell them apart from real wins; deck-builder save validates the 3-copies-per-card limit client-side before letting you press Save; and a list of guild-management quality-of-life polish items (kick / promote confirmation, donation amount cap, war-end refresh filtering, identical-message dedupe).

A pass through the in-battle screen, the deck builder, and the card / trade modals fixed a long list of small but visible bugs. The headline items: spectators were seeing the battle mirrored to the wrong side (their view labelled the opponent as "you"), the mulligan timer reset to 30 every time anything happened on the board, the queue size showed blank when joining casual matchmaking, and trade history's wishlist 🎯 markers showed the wrong player's wishlist. The card modal now cancels in-flight fetches when you flip through a gallery, the deck builder caps how many pages it loads (so a server hiccup can't lock the screen), and copying a deck export now actually tells you whether it worked.

When you summon a creature, attack, or end your turn, the client now waits up to 5 seconds for the server to confirm. If the confirmation never arrives — server hiccup, network drop, dropped packet — you get a clear "No response from server — check your connection" message instead of a button that just stops responding. If the server rejects the action (out of phase, illegal target, rate-limited, etc.) the rejection reason now reaches you immediately even on flaky connections, instead of riding the next state push and arriving seconds late. The other (less critical) actions are unchanged. Spanish and English locales also got `not-found` and `loading` pages so a stale link or a slow load lands on a localised page instead of the framework default.

The bilingual public surface is now wired up for search engines. Every Spanish and English page emits a `<link rel="canonical">` pointing at its own locale URL plus an `<link rel="alternate" hreflang>` map covering both locales and an `x-default` fallback, so Google can pair the /es and /en variants of the same page instead of treating them as duplicates. A new `/sitemap.xml` enumerates every Phase 1 public page in every locale with the same hreflang alternates per entry. With this release Phase 1 of the i18n project is fully closed: 4 legal pages bilingual, 7 marketing pages bilingual, controlling-version clauses live in both languages, locale switcher in both headers, hreflang plumbing in metadata and sitemap, and a written workflow template for any future page.

A big batch of player-facing work landed across the spring. The headline items: a public marketing surface for new visitors, a card mastery system that rewards loyalty to specific cards, a tournament bracket viewer that finally lets you see how a tournament is unfolding, and a long list of small UX fixes that close gaps players have been pointing out for months. Below is the rough shape of what changed, organised by area. Patch notes for individual cards and balance tweaks live in the in-game patch feed; this changelog covers the structural and surface-level stuff.

Six more marketing pages are now bilingual, closing out Phase 1 of the marketing translation effort. /es/about renders the team / vision / game-world write-up in Spanish. /es/contact translates every channel. /es/faq covers all 12 Q&A items. /es/how-to-play translates the 10-minute rundown. /es/showcase renders the curated 7-card showcase with bilingual card names + flavor blurbs. /es/changelog (this page) is now bilingual too — every ChangelogEntry carries both Spanish and English copy together in the source so future updates land in both locales atomically. The four legal pages shipped bilingual earlier this month, so the public surface is now fully bilingual end-to-end.

The homepage hero is now bilingual. Spanish-speaking visitors landing on /es see the full marketing pitch in Spanish — anti-pay-to-win positioning, daily-free-packs promise, multi-pace modes (casual, ranked, AI, just collecting), element chips, and the 'built among friends' footer — all in informal tú voice. English visitors keep the original wording at /en. This is the first marketing page to land in two languages; the rest are queued up next.

The Privacy Policy is now bilingual, closing out Phase 1 of the legal-page localization effort. Spanish-speaking visitors land on a fully translated /es/legal/privacy, English visitors keep the original wording at /en/legal/privacy. With this release, all four legal pages — Terms of Service, Cookie Policy, Legal Notice, and Privacy Policy — ship in both English and Spanish, each carrying the controlling-version notice that names the English text as the legally authoritative version. Phase 1 legal coverage is now fully complete.

The Terms of Service page is now bilingual. Spanish-speaking visitors land on a fully translated /es/legal/terms, English visitors keep the original wording at /en/legal/terms. Both versions carry the same controlling-version notice at the top, making clear that the English text remains the legally authoritative version and the Spanish translation is provided for convenience. Three of four legal pages — Terms, Cookies, and Legal Notice — now ship in both languages; Privacy is the next page in line.

The Cookie Policy and Legal Notice pages are now bilingual. Spanish-speaking visitors land on fully translated /es/legal/cookies and /es/legal/notice, English visitors keep the original wording at /en/legal/cookies and /en/legal/notice. All four pages carry a controlling-version notice at the top making clear that the English text is the legally authoritative version and the Spanish translation is provided for convenience. Terms and privacy will follow the same pattern in upcoming releases.