Polymarket dijo que reembolsará por completo a los usuarios después de que un script comprometido de un proveedor drenara alrededor de 3 millones de dólares de menos de 15 cuentas.
Puntos clave:
- Polymarket dijo que un compromiso de un proveedor externo inyectó código malicioso en su frontend.
- Investigadores de seguridad rastrearon alrededor de 3 millones de dólares en pérdidas en menos de 15 cuentas afectadas.
- La brecha se produce tras otro incidente separado con una billetera de administrador que no afectó a los fondos de los usuarios.
Hackeo de Polymarket
Polymarket confirmó el viernes que los atacantes usaron un proveedor externo comprometido para colocar código malicioso en su frontend, exponiendo a algunos usuarios a un ataque que drenaba sus billeteras.
La brecha fue señalada por primera vez por el investigador de seguridad on-chain Specter, quien dijo que una aparente campaña de phishing había drenado fondos de más de 11 billeteras que contenían PUSD (PUSD), la stablecoin de Polymarket.
Specter estimó las pérdidas en 2,94 millones de dólares, mientras que PeckShield posteriormente confirmó una cifra similar y afirmó que el atacante puenteó fondos de Polygon (POL) a Ethereum (ETH), para luego convertirlos en 1.893 ETH.
La plataforma reconoció la brecha a través de su cuenta Polymarket Traders en X, diciendo que la dependencia afectada había sido eliminada y que los usuarios impactados serían contactados directamente.
«Esta mañana descubrimos que un proveedor externo había sido comprometido, inyectando un script malicioso en nuestro frontend para algunos usuarios. Lo hemos contenido y eliminado la dependencia afectada», escribió. «Estamos contactando a los usuarios afectados y reembolsándolos por completo».
También lee: Cofundador de Anthropic dice que el primer verdadero impacto laboral de la IA está golpeando a los graduados
Repercusiones de seguridad
William LeGate, que trabaja estrechamente con la plataforma, reiteró que el problema había sido resuelto y dijo que los usuarios afectados recibirían una compensación total.
GoPlus Security describió el incidente como un ataque a la cadena de suministro, señalando que alrededor de 15 cuentas se vieron afectadas y que las pérdidas totalizaron 3 millones de dólares.
Bubblemaps llegó a la misma conclusión general y elogió la respuesta de Polymarket después de que los fondos fueran drenados y el exploit contenido.
La última brecha aumenta la presión porque se produce después de otro incidente el mes pasado, cuando una billetera de administrador utilizada para recargas de recompensas a empleados perdió alrededor de 700.000 dólares, probablemente por el compromiso de una clave privada.
El investigador cripto ZachXBT estimó inicialmente esa pérdida anterior en alrededor de 520.000 dólares, antes de que Bubblemaps citara más tarde la cifra más alta tras rastrear fondos a través de varias direcciones.
El desarrollador Josh Stevens dijo que una clave privada de 6 años había quedado expuesta a través de la configuración interna, tras lo cual la empresa rotó las credenciales y pasó a servicios de gestión de claves.
Ambas brechas afectaron a sistemas alrededor de los mercados de predicción más que a los propios mercados, pero llegaron en un período difícil para la empresa. The Wall Street Journal informó recientemente que Polymarket pagó a creadores universitarios de 2.000 a 3.000 dólares al mes para publicar videos de apuestas escenificados, y otro trader afirmó este mes que cambios de reglas vinculados a un mercado de venta de Bitcoin de Strategy le costaron 500.000 dólares.
Lee a continuación: Los hackers BlueNoroff de Corea del Norte usaron videollamadas falsas de Zoom generadas por IA para vulnerar a 100 ejecutivos cripto





