Polymarket erklärte, dass das Unternehmen alle Nutzer vollständig entschädigen werde, nachdem ein kompromittiertes Anbieter-Skript etwa 3 Millionen US-Dollar von weniger als 15 Konten abgezogen hatte.
Wichtige Punkte:
- Polymarket sagte, ein Kompromiss eines Drittanbieters habe bösartigen Code in sein Frontend eingeschleust.
- Sicherheitsforscher verfolgten etwa 3 Millionen US-Dollar an Verlusten über weniger als 15 betroffene Konten.
- Der Vorfall folgt auf einen separaten Admin-Wallet-Zwischenfall, der keine Nutzervermögen betraf.
Polymarket-Hack
Polymarket bestätigte am Freitag, dass Angreifer einen kompromittierten Drittanbieter nutzten, um bösartigen Code in sein Frontend einzuschleusen und damit einige Nutzer einem Wallet-Drain-Angriff auszusetzen.
Der Vorfall wurde zuerst vom On-Chain-Sicherheitsforscher Specter gemeldet, der erklärte, eine offenbar phishingartige Kampagne habe Gelder aus mehr als 11 Wallets mit PUSD (PUSD), der Stablecoin von Polymarket, abgezogen.
Specter schätzte die Verluste auf 2,94 Millionen US-Dollar, während PeckShield später eine ähnliche Summe bestätigte und erklärte, der Angreifer habe Gelder von Polygon (POL) zu Ethereum (ETH) gebridged und sie anschließend in 1.893 ETH umgewandelt.
Die Plattform bestätigte den Vorfall über ihren Polymarket Traders-Account auf X und erklärte, die betroffene Abhängigkeit sei entfernt worden und betroffene Nutzer würden direkt kontaktiert.
„Heute Morgen haben wir entdeckt, dass ein Drittanbieter kompromittiert wurde, der ein bösartiges Skript in unser Frontend für einige Nutzer injizierte. Wir haben den Vorfall eingedämmt und die betroffene Abhängigkeit entfernt“, schrieb das Unternehmen. „Wir kontaktieren betroffene Nutzer und erstatten sie vollständig.“
Auch lesen: Anthropic-Mitgründer sagt, der erste echte KI-Jobschock treffe nun Absolventen
Sicherheitliche Folgen
William LeGate, der eng mit der Plattform zusammenarbeitet, bekräftigte, dass das Problem behoben sei und erklärte, betroffene Nutzer würden vollständig entschädigt.
GoPlus Security beschrieb den Vorfall als Supply-Chain-Angriff und erklärte, etwa 15 Konten seien betroffen gewesen und die Verluste beliefen sich auf 3 Millionen US-Dollar.
Bubblemaps kam zu einer ähnlichen allgemeinen Einschätzung und lobte die Reaktion von Polymarket, nachdem die Gelder abgezogen und der Exploit eingedämmt worden waren.
Der jüngste Vorfall erhöht den Druck, da er auf einen anderen Zwischenfall im letzten Monat folgt, bei dem eine Admin-Wallet, die für Mitarbeiter-Bonusaufladungen genutzt wurde, rund 700.000 US-Dollar verlor – vermutlich durch einen kompromittierten privaten Schlüssel.
Der Krypto-Ermittler ZachXBT schätzte diesen früheren Verlust zunächst auf etwa 520.000 US-Dollar, bevor Bubblemaps später die höhere Summe nannte, nachdem Gelder über mehrere Adressen verfolgt worden waren.
Entwickler Josh Stevens erklärte, ein sechs Jahre alter privater Schlüssel sei durch interne Konfiguration offengelegt worden, woraufhin das Unternehmen Zugangsdaten rotierte und auf Key-Management-Services umstellte.
Beide Vorfälle betrafen Systeme rund um die Prognosemärkte, nicht jedoch die Märkte selbst, traten aber in einer schwierigen Phase für das Unternehmen auf. Das Wall Street Journal berichtete kürzlich, dass Polymarket Studierende im College-Alter mit 2.000 bis 3.000 US-Dollar pro Monat dafür bezahlte, gestellte Wettvideos zu posten, und ein weiterer Trader behauptete in diesem Monat, dass Regeländerungen im Zusammenhang mit einem Strategy-Bitcoin-Verkaufsmarkt ihn 500.000 US-Dollar gekostet hätten.
Als Nächstes lesen: Nordkoreas BlueNoroff-Hacker nutzten KI-generierte Fake-Zoom-Calls, um 100 Krypto-Führungskräfte zu kompromittieren