**폴리마켓(Polymarket)**은 서드파티 벤더 스크립트가 침해되면서 15개 미만 계정에서 약 300만 달러가 유출됐지만, 이용자들에게 전액을 상환하겠다고 밝혔다.
핵심 내용:
- 폴리마켓은 서드파티 벤더가 침해되면서 프론트엔드에 악성 코드가 주입됐다고 밝혔다.
- 보안 연구자들은 15개 미만의 피해 계정에서 약 300만 달러의 손실이 발생했다고 추적했다.
- 이번 사고는, 이용자 자금에는 영향이 없었던 별도의 관리자 지갑 사고에 이어 발생했다.
폴리마켓 해킹
폴리마켓은 금요일, 공격자들이 침해된 서드파티 벤더를 이용해 프론트엔드에 악성 코드를 삽입해 일부 이용자를 지갑 탈취 공격에 노출시켰다고 확인했다.
이번 침해는 온체인 보안 연구자 Specter가 처음 포착했으며, 피싱으로 보이는 캠페인이 폴리마켓 스테이블코인 PUSD (PUSD)를 보유한 11개 이상 지갑에서 자금을 빼냈다고 밝혔다.
Specter는 손실 규모를 294만 달러로 추산했으며, 이후 PeckShield도 비슷한 수치를 확인하고, 공격자가 Polygon (POL)에서 Ethereum (ETH)으로 자금을 브릿지한 뒤 1,893 ETH로 전환했다고 전했다.
폴리마켓은 X의 Polymarket Traders 계정을 통해 이번 침해를 인정하며, 문제가 된 의존성을 제거했고 영향을 받은 이용자들에게 개별 연락을 취할 것이라고 밝혔다.
“오늘 아침, 서드파티 벤더 하나가 침해되어 일부 이용자에게 제공되는 우리 프론트엔드에 악성 스크립트가 주입된 것을 발견했습니다. 우리는 이를 차단하고 문제가 된 의존성을 제거했습니다.”라며 “영향을 받은 이용자들에게 연락해 전액을 환불하고 있습니다.”라고 덧붙였다.
관련 기사: Anthropic 공동 창업자, ‘AI가 야기한 첫 진짜 일자리 충격이 졸업생들에게 닥치고 있다’고 발언
보안 파장
플랫폼과 긴밀히 협업하는 William LeGate는 문제가 이미 해결됐다고 거듭 강조하며, 피해 이용자들이 전액 보상을 받게 될 것이라고 말했다.
GoPlus Security는 이번 사건을 공급망 공격으로 규정하고, 약 15개 계정이 영향을 받았으며 손실은 총 300만 달러 수준이라고 설명했다.
Bubblemaps도 대체로 같은 결론에 도달했으며, 자금이 유출된 뒤 취약점이 봉쇄된 후 폴리마켓의 대응을 높이 평가했다.
이번 최신 침해는, 지난달 직원 보상 지급을 위한 충전(admin) 지갑이 약 70만 달러를 잃은 별도의 사건에 이어 발생하면서 플랫폼에 대한 압박을 키우고 있다. 당시에도 사설 키가 탈취된 것으로 추정됐다.
크립토 추적자 ZachXBT는 초기에는 그 손실 규모를 약 52만 달러로 추산했으나, 이후 Bubblemaps가 여러 주소를 추적한 끝에 더 큰 금액을 제시했다.
개발자 Josh Stevens는 6년 된 개인 키가 내부 설정 과정에서 노출됐다고 설명하며, 이후 회사가 자격 증명을 교체하고 키 관리 서비스로 이전했다고 밝혔다.
두 사건 모두 예측 시장 그 자체가 아닌 주변 시스템에 영향을 준 것이지만, 회사에 힘든 시기에 발생했다는 점에서 부담을 더하고 있다. Wall Street Journal은 최근 폴리마켓이 대학생 크리에이터들에게 월 2,000~3,000달러를 지급해 연출된 베팅 영상을 올리게 했다고 보도했으며, 또 다른 트레이더는 이달, Strategy 비트코인 매도 시장과 연계된 규칙 변경으로 50만 달러 손실을 봤다고 주장했다.
다음 읽기: North Korea’s BlueNoroff Hackers Used AI-Generated Fake Zoom Calls To Breach 100 Crypto Executives