Polymarket perde 3 milioni di dollari in un hack al frontend, poi promette il rimborso completo

Polymarket perde 3 milioni di dollari in un hack al frontend, poi promette il rimborso completo

Polymarket ha dichiarato che rimborserà completamente gli utenti dopo che uno script di un fornitore compromesso ha drenato circa 3 milioni di dollari da meno di 15 account.

Punti chiave:

  • Polymarket ha dichiarato che un compromesso di un fornitore terzo ha iniettato codice malevolo nel suo frontend.
  • I ricercatori di sicurezza hanno tracciato circa 3 milioni di dollari di perdite in meno di 15 account colpiti.
  • La violazione segue un distinto incidente legato a un wallet admin che non ha interessato i fondi degli utenti.

Hack di Polymarket

Polymarket ha confermato venerdì che gli aggressori hanno utilizzato un fornitore terzo compromesso per inserire codice malevolo nel suo frontend, esponendo alcuni utenti a un attacco di wallet draining.

La violazione è stata segnalata per la prima volta dal ricercatore on-chain di sicurezza Specter, che ha affermato che una apparente campagna di phishing aveva drenato fondi da oltre 11 wallet che detenevano PUSD (PUSD), la stablecoin di Polymarket.

Specter ha stimato le perdite in 2,94 milioni di dollari, mentre PeckShield ha poi confermato una cifra simile e ha dichiarato che l’attaccante ha bridgiato fondi da Polygon (POL) a Ethereum (ETH), convertendoli poi in 1.893 ETH.

La piattaforma ha riconosciuto la violazione tramite il suo account Polymarket Traders su X, affermando che la dipendenza interessata era stata rimossa e che gli utenti colpiti sarebbero stati contattati direttamente.

«Questa mattina abbiamo scoperto che un fornitore di terze parti era stato compromesso, iniettando uno script malevolo nel nostro frontend per alcuni utenti. Abbiamo contenuto il problema e rimosso la dipendenza interessata», ha scritto. «Stiamo contattando gli utenti colpiti e li rimborseremo completamente».

Leggi anche: Cofondatore di Anthropic afferma che il primo vero shock occupazionale dell’IA sta colpendo i neolaureati

Conseguenze sulla sicurezza

William LeGate, che collabora strettamente con la piattaforma, ha ribadito che il problema è stato risolto e ha affermato che gli utenti colpiti riceveranno un risarcimento completo.

GoPlus Security ha descritto l’incidente come un attacco alla supply chain, affermando che sono stati colpiti circa 15 account e che le perdite ammontano a 3 milioni di dollari.

Bubblemaps è giunta alla stessa conclusione generale e ha elogiato la risposta di Polymarket dopo che i fondi sono stati drenati e l’exploit è stato contenuto.

L’ultima violazione aumenta la pressione perché segue un altro incidente avvenuto il mese scorso, quando un wallet admin utilizzato per i top-up dei premi ai dipendenti ha perso circa 700.000 dollari, probabilmente a causa del compromesso di una chiave privata.

Il detective cripto ZachXBT ha inizialmente stimato quella perdita a circa 520.000 dollari, prima che Bubblemaps citasse in seguito la cifra più alta dopo aver tracciato i fondi su diversi indirizzi.

Lo sviluppatore Josh Stevens ha dichiarato che una chiave privata vecchia di 6 anni era stata esposta tramite la configurazione interna, dopo di che l’azienda ha ruotato le credenziali e si è spostata verso servizi di gestione delle chiavi.

Entrambe le violazioni hanno interessato i sistemi intorno ai mercati di previsione piuttosto che i mercati stessi, ma sono arrivate in un periodo difficile per l’azienda. Il Wall Street Journal ha recentemente riportato che Polymarket ha pagato creatori in età universitaria tra 2.000 e 3.000 dollari al mese per pubblicare video di scommesse inscenate, e un altro trader ha affermato questo mese che modifiche alle regole legate a un mercato di vendita Bitcoin di Strategy gli sono costate 500.000 dollari.

Da leggere dopo: Gli hacker BlueNoroff della Corea del Nord hanno usato finte call Zoom generate dall’IA per violare 100 dirigenti cripto

Disclaimer e avvertenza sui rischi: Le informazioni fornite in questo articolo sono solo per scopi educativi e informativi e sono basate sull'opinione dell'autore. Non costituiscono consulenza finanziaria, di investimento, legale o fiscale. Gli asset di criptovaluta sono altamente volatili e soggetti ad alto rischio, incluso il rischio di perdere tutto o una parte sostanziale del tuo investimento. Il trading o il possesso di asset crypto potrebbe non essere adatto a tutti gli investitori. Le opinioni espresse in questo articolo sono esclusivamente quelle dell'autore/autori e non rappresentano la politica ufficiale o la posizione di Yellow, dei suoi fondatori o dei suoi dirigenti. Conduci sempre la tua ricerca approfondita (D.Y.O.R.) e consulta un professionista finanziario autorizzato prima di prendere qualsiasi decisione di investimento.
Polymarket perde 3 milioni di dollari in un hack al frontend, poi promette il rimborso completo | Yellow