Polymarket verliest $3 miljoen door frontend-hack en belooft volledige terugbetaling

Polymarket verliest $3 miljoen door frontend-hack en belooft volledige terugbetaling

Polymarket zei dat het gebruikers volledig zal terugbetalen nadat een gecompromitteerd leveranciersscript ongeveer $3 miljoen had weggetrokken uit minder dan 15 accounts.

Belangrijkste punten:

  • Polymarket zei dat een inbreuk bij een externe leverancier kwaadaardige code in zijn frontend injecteerde.
  • Security-onderzoekers volgden ongeveer $3 miljoen aan verliezen bij minder dan 15 getroffen accounts.
  • De inbreuk volgt op een afzonderlijk incident met een admin-wallet dat geen invloed had op gebruikersfondsen.

Polymarket-hack

Polymarket bevestigde vrijdag dat aanvallers een gecompromitteerde externe leverancier gebruikten om kwaadaardige code in de frontend te plaatsen, waardoor sommige gebruikers werden blootgesteld aan een wallet-drain-aanval.

De inbreuk werd eerst gesignaleerd door on-chain security-onderzoeker Specter, die zei dat een ogenschijnlijke phishingcampagne fondsen had leeggetrokken uit meer dan 11 wallets met PUSD (PUSD), de stablecoin van Polymarket.

Specter schatte de verliezen op $2,94 miljoen, terwijl PeckShield later een vergelijkbaar bedrag bevestigde en zei dat de aanvaller fondsen van Polygon (POL) naar Ethereum (ETH) had gebridged en ze vervolgens had omgezet in 1.893 ETH.

Het platform erkende de inbreuk via zijn Polymarket Traders-account op X en zei dat de getroffen dependency was verwijderd en dat getroffen gebruikers rechtstreeks zouden worden benaderd.

„Vanmorgen ontdekten we dat een derde partij leverancier was gecompromitteerd en een kwaadaardig script in onze frontend injecteerde voor sommige gebruikers. We hebben het ingedamd en de getroffen dependency verwijderd,” schreef het. „We nemen contact op met getroffen gebruikers en betalen hen volledig terug.”

Ook lezen: Medeoprichter van Anthropic zegt dat de eerste echte AI-banenschok afgestudeerden treft

Gevolgen voor de beveiliging

William LeGate, die nauw met het platform samenwerkt, herhaalde dat het probleem was opgelost en zei dat getroffen gebruikers volledige compensatie zouden ontvangen.

GoPlus Security omschreef het incident als een supply-chain-aanval en zei dat ongeveer 15 accounts waren getroffen en de verliezen in totaal $3 miljoen bedroegen.

Bubblemaps kwam tot dezelfde algemene conclusie en prees de reactie van Polymarket nadat de fondsen waren weggetrokken en de exploit was ingedamd.

De nieuwste inbreuk vergroot de druk omdat hij volgt op een ander incident vorige maand, toen een admin-wallet die werd gebruikt voor beloningsuitkeringen aan werknemers ongeveer $700.000 verloor, waarschijnlijk door een gecompromitteerde private key.

Crypto-speurneus ZachXBT schatte dat eerdere verlies eerst op ongeveer $520.000, voordat Bubblemaps later het hogere bedrag noemde na het volgen van fondsen over meerdere adressen.

Ontwikkelaar Josh Stevens zei dat een zes jaar oude private key was blootgesteld via interne configuratie, waarna het bedrijf de inloggegevens roteerde en overstapte op keymanagementdiensten.

Beide inbreuken troffen systemen rondom de prediction markets in plaats van de markten zelf, maar ze kwamen in een moeilijke periode voor het bedrijf. De Wall Street Journal meldde onlangs dat Polymarket studentenleeftijd-creators $2.000 tot $3.000 per maand betaalde om in scène gezette gokvideo’s te plaatsen, en een andere trader claimde deze maand dat regelwijzigingen rond een Strategy-markt voor Bitcoin-verkoop hem $500.000 kostten.

Lees hierna: BlueNoroff-hackers uit Noord-Korea gebruikten door AI gegenereerde nep-Zoomgesprekken om 100 crypto-executives te hacken

Disclaimer en risicowaarschuwing: De informatie in dit artikel is uitsluitend voor educatieve en informatieve doeleinden en is gebaseerd op de mening van de auteur. Het vormt geen financieel, investerings-, juridisch of belastingadvies. Cryptocurrency-assets zijn zeer volatiel en onderhevig aan hoog risico, inclusief het risico om uw gehele of een substantieel deel van uw investering te verliezen. Het handelen in of aanhouden van crypto-assets is mogelijk niet geschikt voor alle beleggers. De meningen die in dit artikel worden geuit zijn uitsluitend die van de auteur(s) en vertegenwoordigen niet het officiële beleid of standpunt van Yellow, haar oprichters of haar leidinggevenden. Voer altijd uw eigen grondig onderzoek uit (D.Y.O.R.) en raadpleeg een gelicentieerde financiële professional voordat u een investeringsbeslissing neemt.
Polymarket verliest $3 miljoen door frontend-hack en belooft volledige terugbetaling | Yellow