Platforma rynku predykcyjnego Polymarket straciła 3,1 mln dolarów po tym, jak atakujący włamali się do zewnętrznego frontendu i wyprowadzili środki z 11 portfeli użytkowników.
Zaudytowane smart kontrakty platformy pozostały nienaruszone przez cały incydent.
Zgodnie z raportem skradzione tokeny PUSD zostały przeniesione z Polygon (POL) na Ethereum (ETH) za pośrednictwem mostu cross-chain. Polymarket nie ujawnił publicznie nazwy skompromitowanego dostawcy.
Jak działał atak
Ataki na dostawców frontendu celują w interfejs webowy, który łączy użytkowników z bazowymi kontraktami platformy. Same smart kontrakty przechowują i zarządzają środkami, ale użytkownicy wchodzą z nimi w interakcję przez warstwę przeglądarkową budowaną i utrzymywaną przez zewnętrznych dostawców oprogramowania.
W tym przypadku atakujący najwyraźniej wstrzyknęli złośliwy kod właśnie w tej warstwie interfejsu. Użytkownicy, którzy korzystali z frontendu Polymarket w trakcie trwania ataku, mieli przekierowane zatwierdzenia swoich portfeli. Jedenaście portfeli straciło środki, zanim naruszenie zostało wykryte.
Fakt, że smart kontrakty przeszły audyty, zapewnia ograniczoną ochronę, gdy wektor ataku znajduje się powyżej warstwy kontraktowej.
Śledztwo regulacyjne zwiększa presję po incydencie bezpieczeństwa
Polymarket działa pod wzmożoną uwagą regulatorów od czasu, gdy Commodity Futures Trading Commission rozpoczęła dochodzenie w sprawie dostępu użytkowników z USA do platformy. Śledztwo CFTC, trwające nieprzerwanie do 2026 roku, koncentruje się na tym, czy rynki predykcyjne Polymarket stanowią niezarejestrowane kontrakty na towary, dostępne dla amerykańskich użytkowników.
Platforma przyciągnęła uwagę głównego nurtu podczas cyklu wyborczego w USA w 2024 roku, kiedy jej rynki były szeroko cytowane w mediach jako wskaźnik szans w wyścigu prezydenckim. Ta widoczność przyniosła zarówno wzrost liczby użytkowników, jak i wzmożoną kontrolę regulatorów. Połączenie aktywnego dochodzenia CFTC i głośnego incydentu bezpieczeństwa tworzy skumulowaną presję reputacyjną na operatorów platformy.
Bezpieczeństwo rynków predykcyjnych jest powracającą kwestią w tym sektorze. Ataki na frontend są szczególnie trudne do powstrzymania, ponieważ polegają na kompromitacji zewnętrznych dostawców, a nie rdzennego protokołu. W ciągu ostatnich dwóch lat kilka platform DeFi doświadczyło podobnych ataków typu „łańcuch dostaw”.
Przeczytaj także: Micron staje się kolejną obsesją Wall Street na punkcie AI po rajdzie o 236%
Co dalej
Polymarket nie potwierdził, czy poszkodowani użytkownicy otrzymają odszkodowanie. Platforma nie ujawniła też tożsamości skompromitowanego dostawcy, co ogranicza możliwość zewnętrznych przeglądów bezpieczeństwa łańcucha ataku.
Śledztwo CFTC dodaje dodatkową warstwę złożoności. Każde publiczne oświadczenie dotyczące włamania może przecinać się z toczącymi się postępowaniami regulacyjnymi. Przeniesienie skradzionych środków na Ethereum za pośrednictwem mostu sprawia, że śledzenie jest teoretycznie możliwe, choć odzyskanie środków w atakach na dostawców frontendu jest rzadkie bez zaangażowania organów ścigania.
Przeczytaj później: HIVE właśnie pożyczyło 115 mln USD przy zerowym oprocentowaniu, by zagrać przeciwko kopaniu Bitcoina