Polymarket zei dat het gebruikers volledig zal terugbetalen nadat een gecompromitteerd vendorscript ongeveer $3 miljoen had leeggetrokken uit minder dan 15 accounts.
Belangrijkste punten:
- Polymarket zei dat een compromis bij een externe leverancier kwaadaardige code in de frontend injecteerde.
- Security-onderzoekers volgden ongeveer $3 miljoen aan verliezen bij minder dan 15 getroffen accounts.
- De inbreuk volgt op een apart incident met een admin-wallet dat geen invloed had op gebruikersfondsen.
Polymarket-hack
Polymarket bevestigde vrijdag dat aanvallers een gecompromitteerde externe leverancier gebruikten om kwaadaardige code in de frontend te plaatsen, waardoor sommige gebruikers werden blootgesteld aan een wallet-drain-aanval.
De inbreuk werd eerst gesignaleerd door on-chain security-onderzoeker Specter, die zei dat een ogenschijnlijke phishingcampagne tegoeden had leeggehaald uit meer dan 11 wallets met PUSD (PUSD), de stablecoin van Polymarket.
Specter schatte de verliezen op $2,94 miljoen, terwijl PeckShield later een vergelijkbaar bedrag bevestigde en zei dat de aanvaller fondsen van Polygon (POL) naar Ethereum (ETH) had gebridged en ze vervolgens had omgezet in 1.893 ETH.
Het platform erkende de inbreuk via het account Polymarket Traders op X, en zei dat de getroffen dependency was verwijderd en dat getroffen gebruikers rechtstreeks zouden worden benaderd.
“Vanmorgen ontdekten we dat een externe leverancier was gecompromitteerd, die voor sommige gebruikers een kwaadaardig script in onze frontend injecteerde. We hebben het ingedamd en de getroffen dependency verwijderd,” schreef het. “We nemen contact op met getroffen gebruikers en betalen hen volledig terug.”
Ook lezen: Anthropic-medeoprichter zegt dat AI’s eerste echte jobschok afgestudeerden treft
Gevolgen voor de beveiliging
William LeGate, die nauw samenwerkt met het platform, herhaalde dat het probleem was opgelost en zei dat getroffen gebruikers volledige compensatie zouden ontvangen.
GoPlus Security omschreef het incident als een supply-chain-aanval en zei dat ongeveer 15 accounts waren getroffen en dat de verliezen in totaal $3 miljoen bedroegen.
Bubblemaps kwam tot dezelfde algemene conclusie en prees de reactie van Polymarket nadat de fondsen waren leeggetrokken en de exploit was ingedamd.
De nieuwste inbreuk vergroot de druk omdat hij volgt op een ander incident vorige maand, toen een admin-wallet die werd gebruikt voor beloningsbijschrijvingen voor medewerkers ongeveer $700.000 verloor, vermoedelijk door een gecompromitteerde private key.
Crypto-speurneus ZachXBT schatte dat eerdere verlies eerst op ongeveer $520.000, voordat Bubblemaps later het hogere bedrag noemde na het volgen van fondsen over meerdere adressen.
Ontwikkelaar Josh Stevens zei dat een 6 jaar oude private key was blootgesteld via interne configuratie, waarna het bedrijf de credentials roteerde en overstapte op keymanagementservices.
Beide inbreuken troffen systemen rond de voorspellingsmarkten in plaats van de markten zelf, maar kwamen in een moeilijke periode voor het bedrijf. De Wall Street Journal meldde onlangs dat Polymarket studenten op universiteitsleeftijd $2.000 tot $3.000 per maand betaalde om in scène gezette gokvideo’s te posten, en een andere trader beweerde deze maand dat regelwijzigingen rond een Strategy-markt voor Bitcoin-verkopen hem $500.000 kostten.
Lees verder: Noord-Korea’s BlueNoroff-hackers gebruikten door AI gegenereerde nep-Zoom-calls om 100 crypto-CEO’s te hacken