Polymarket zei dat het gebruikers volledig zal terugbetalen nadat een gecompromitteerd leveranciersscript ongeveer $3 miljoen had weggetrokken uit minder dan 15 accounts.
Belangrijkste punten:
- Polymarket zei dat een inbreuk bij een externe leverancier kwaadaardige code in zijn frontend injecteerde.
- Security-onderzoekers volgden ongeveer $3 miljoen aan verliezen bij minder dan 15 getroffen accounts.
- De inbreuk volgt op een afzonderlijk incident met een admin-wallet dat geen invloed had op gebruikersfondsen.
Polymarket-hack
Polymarket bevestigde vrijdag dat aanvallers een gecompromitteerde externe leverancier gebruikten om kwaadaardige code in de frontend te plaatsen, waardoor sommige gebruikers werden blootgesteld aan een wallet-drain-aanval.
De inbreuk werd eerst gesignaleerd door on-chain security-onderzoeker Specter, die zei dat een ogenschijnlijke phishingcampagne fondsen had leeggetrokken uit meer dan 11 wallets met PUSD (PUSD), de stablecoin van Polymarket.
Specter schatte de verliezen op $2,94 miljoen, terwijl PeckShield later een vergelijkbaar bedrag bevestigde en zei dat de aanvaller fondsen van Polygon (POL) naar Ethereum (ETH) had gebridged en ze vervolgens had omgezet in 1.893 ETH.
Het platform erkende de inbreuk via zijn Polymarket Traders-account op X en zei dat de getroffen dependency was verwijderd en dat getroffen gebruikers rechtstreeks zouden worden benaderd.
„Vanmorgen ontdekten we dat een derde partij leverancier was gecompromitteerd en een kwaadaardig script in onze frontend injecteerde voor sommige gebruikers. We hebben het ingedamd en de getroffen dependency verwijderd,” schreef het. „We nemen contact op met getroffen gebruikers en betalen hen volledig terug.”
Ook lezen: Medeoprichter van Anthropic zegt dat de eerste echte AI-banenschok afgestudeerden treft
Gevolgen voor de beveiliging
William LeGate, die nauw met het platform samenwerkt, herhaalde dat het probleem was opgelost en zei dat getroffen gebruikers volledige compensatie zouden ontvangen.
GoPlus Security omschreef het incident als een supply-chain-aanval en zei dat ongeveer 15 accounts waren getroffen en de verliezen in totaal $3 miljoen bedroegen.
Bubblemaps kwam tot dezelfde algemene conclusie en prees de reactie van Polymarket nadat de fondsen waren weggetrokken en de exploit was ingedamd.
De nieuwste inbreuk vergroot de druk omdat hij volgt op een ander incident vorige maand, toen een admin-wallet die werd gebruikt voor beloningsuitkeringen aan werknemers ongeveer $700.000 verloor, waarschijnlijk door een gecompromitteerde private key.
Crypto-speurneus ZachXBT schatte dat eerdere verlies eerst op ongeveer $520.000, voordat Bubblemaps later het hogere bedrag noemde na het volgen van fondsen over meerdere adressen.
Ontwikkelaar Josh Stevens zei dat een zes jaar oude private key was blootgesteld via interne configuratie, waarna het bedrijf de inloggegevens roteerde en overstapte op keymanagementdiensten.
Beide inbreuken troffen systemen rondom de prediction markets in plaats van de markten zelf, maar ze kwamen in een moeilijke periode voor het bedrijf. De Wall Street Journal meldde onlangs dat Polymarket studentenleeftijd-creators $2.000 tot $3.000 per maand betaalde om in scène gezette gokvideo’s te plaatsen, en een andere trader claimde deze maand dat regelwijzigingen rond een Strategy-markt voor Bitcoin-verkoop hem $500.000 kostten.





