Polymarket は、第三者ベンダーのスクリプトが侵害され、15件未満のアカウントから約300万ドルが流出したものの、ユーザーに全額返金すると発表した。
重要ポイント:
- Polymarketは、サードパーティーベンダーの侵害により、悪意あるコードがフロントエンドに挿入されたと説明した。
- セキュリティ研究者は、15件未満のアカウントで約300万ドルの損失が出たと追跡している。
- この侵害は、ユーザー資金には影響しなかった別の管理ウォレット事故に続いて発生した。
Polymarketハック
Polymarketは金曜日、攻撃者が侵害されたサードパーティーベンダーを利用してフロントエンドに悪意あるコードを配置し、一部ユーザーをウォレットドレイン攻撃にさらしたことを 確認した。
この侵害は、オンチェーンセキュリティ研究者 Specter が最初に警告したもので、フィッシング攻撃と思われるキャンペーンにより、Polymarketのステーブルコイン PUSD (PUSD) を保有する11以上のウォレットから資金が抜き取られたと述べた。
Specterは損失額を294万ドルと見積もり、その後 PeckShield もほぼ同額を確認し、攻撃者が Polygon (POL) から Ethereum (ETH) にブリッジし、その後1,893 ETHに換金したと説明した。
プラットフォームは、X上の Polymarket Traders アカウントを通じて侵害を認め、問題の依存コンポーネントは削除済みであり、影響を受けたユーザーには個別に連絡すると述べた。
「今朝、サードパーティーベンダーが侵害され、一部ユーザー向けのフロントエンドに悪意あるスクリプトが挿入されていたことを発見しました。すでに封じ込め、問題の依存コンポーネントは削除しました」と 同社は記した。「影響を受けたユーザーに連絡し、全額を返金します。」
関連記事: Anthropic共同創業者、AIによる初の本格的「雇用ショック」が新卒を直撃と発言
セキュリティ面への余波
プラットフォームと緊密に連携する William LeGate は、問題はすでに解決済みであり、影響を受けたユーザーには全額補償が行われると改めて強調した。
GoPlus Security はこのインシデントをサプライチェーン攻撃と位置付け、約15アカウントが被害に遭い、損失総額は300万ドルに上ると述べた。
Bubblemaps も同様の結論に達し、資金流出後に攻撃を封じ込めたPolymarketの対応を評価した。
この最新の侵害は、先月の別インシデントに続くものであり、その際には従業員報酬のチャージに使われる管理ウォレットが約70万ドルを失った。原因は秘密鍵の漏えいとみられている。
暗号通貨調査者の ZachXBT は当初、その損失を約52万ドルと見積もっていたが、その後Bubblemapsが複数アドレス間の資金移動を追跡し、より高い数字を示した。
開発者の Josh Stevens は、6年前の秘密鍵が内部設定を通じて露出していたと説明し、その後、同社は認証情報をローテーションし、キー管理サービスに移行したと述べた。
いずれの侵害も、予測市場そのものではなく、その周辺システムに影響したが、同社にとって厳しい時期に相次いで発生した。Wall Street Journal は最近、Polymarketが大学生世代のクリエイターに 月2,000〜3,000ドルを支払い、演出されたベッティング動画を投稿させていたと報じている。また今月、別のトレーダーは、Strategy Bitcoin売却市場に関連するルール変更によって50万ドルを失ったと主張した。