Polymarketは、侵害されたベンダースクリプトにより15未満のアカウントから約300万ドルが流出したものの、ユーザーには全額返金する方針だと述べた。
重要ポイント:
- Polymarketは、サードパーティベンダーの侵害によってフロントエンドに悪意あるコードが注入されたと説明した。
- セキュリティ研究者は、15未満の被害アカウントで約300万ドルの損失を追跡した。
- この侵害は、ユーザー資金には影響しなかった別の管理ウォレットインシデントに続くものだ。
Polymarketハック
Polymarketは金曜日、攻撃者が侵害されたサードパーティベンダーを利用してフロントエンドに悪意あるコードを仕込み、一部ユーザーをウォレットドレイン攻撃に晒したことを確認した。
この侵害は、オンチェーンセキュリティ研究者のSpecterが最初に警告した。Specterは、フィッシングキャンペーンとみられる攻撃によって、PolymarketのステーブルコインPUSD (PUSD)を保有する11以上のウォレットから資金が抜き取られたと述べた。
Specterは損失額を294万ドルと見積もり、その後PeckShieldもほぼ同額を確認した上で、攻撃者がPolygon (POL)からEthereum (ETH)へ資金をブリッジし、最終的に1,893ETHへ換金したと報告した。
プラットフォームはX上のPolymarket Tradersアカウントを通じて侵害を認め、問題の依存コンポーネントは削除済みであり、影響を受けたユーザーには個別に連絡すると説明した。
「今朝、サードパーティベンダーが侵害され、一部ユーザー向けのフロントエンドに悪意あるスクリプトが注入されていたことを発見しました。すでに封じ込めを行い、問題の依存コンポーネントは削除しました」と同社は投稿した。「影響を受けたユーザーには個別に連絡し、全額を返金します。」
こちらも参照: Anthropic共同創業者、AIによる最初の本格的な雇用ショックが卒業生を直撃していると語る
セキュリティへの影響
プラットフォームと密接に連携するWilliam LeGateも、問題はすでに解決済みであり、被害ユーザーには全額補償が行われると繰り返し強調した。
GoPlus Securityはこのインシデントをサプライチェーン攻撃と表現し、約15アカウントが影響を受け、損失総額は300万ドルに上ると述べた。
Bubblemapsも同様の結論に達し、資金が抜き取られ悪用が封じ込められた後のPolymarketの対応を評価した。
この最新の侵害は、先月起きた別のインシデントに続くものであることから、同社へのプレッシャーを高めている。先月は、従業員への報酬チャージ用に使われていた管理ウォレットが約70万ドルを失い、秘密鍵の侵害が原因とみられている。
暗号調査者のZachXBTは当初、この損失を約52万ドルと見積もっていたが、その後Bubblemapsが複数アドレス間の資金移動を追跡した結果、より高い数字を示した。
開発者のJosh Stevensは、6年前の秘密鍵が内部設定を通じて露出していたと説明し、その後、同社は認証情報をローテーションし、鍵管理サービスへの移行を進めたという。
いずれの侵害も予測市場そのものではなく、その周辺システムに影響したものだが、同社にとって厳しい時期に重なった。Wall Street Journalは最近、Polymarketが大学生世代のクリエイターに対し、演出されたベッティング動画を投稿させる目的で月2,000~3,000ドルを支払っていたと報じた。また今月、別のトレーダーは、Strategyビットコイン売却マーケットに関連するルール変更によって50万ドルの損失を被ったと主張している。





