Polymarket traci 3 mln USD w ataku na frontend, potem obiecuje pełny zwrot środków

Polymarket traci 3 mln USD w ataku na frontend, potem obiecuje pełny zwrot środków

Polymarket poinformował, że w pełni zwróci środki użytkownikom po tym, jak skompromitowany skrypt dostawcy wyprowadził około 3 miliony dolarów z mniej niż 15 kont.

Kluczowe punkty:

  • Polymarket podał, że kompromitacja zewnętrznego dostawcy wstrzyknęła złośliwy kod do jego frontendu.
  • Badacze bezpieczeństwa oszacowali straty na około 3 miliony dolarów w mniej niż 15 dotkniętych kontach.
  • Naruszenie nastąpiło po odrębnym incydencie z portfelem administratora, który nie dotknął środków użytkowników.

Atak na Polymarket

Polymarket potwierdził w piątek, że atakujący wykorzystali skompromitowanego zewnętrznego dostawcę, aby umieścić złośliwy kod w jego frontendzie, narażając część użytkowników na atak opróżniający portfele.

Naruszenie zostało najpierw wykryte przez badacza bezpieczeństwa on-chain Specter, który stwierdził, że pozorna kampania phishingowa opróżniła środki z ponad 11 portfeli posiadających PUSD (PUSD), stablecoina Polymarket.

Specter oszacował straty na 2,94 miliona dolarów, podczas gdy PeckShield później potwierdził podobną kwotę i podał, że napastnik przeniósł środki z Polygon (POL) do Ethereum (ETH), a następnie zamienił je na 1 893 ETH.

Platforma potwierdziła naruszenie przez konto Polymarket Traders na X, informując, że podatna zależność została usunięta, a poszkodowani użytkownicy zostaną skontaktowani bezpośrednio.

„Dziś rano odkryliśmy, że zewnętrzny dostawca został skompromitowany, wstrzykując złośliwy skrypt do naszego frontendu dla części użytkowników. Opanowaliśmy sytuację i usunęliśmy podatną zależność” – napisano. „Kontaktujemy się z poszkodowanymi użytkownikami i w pełni im zwracamy środki”.

Przeczytaj też: Współzałożyciel Anthropic mówi, że pierwszy prawdziwy wstrząs na rynku pracy przez AI dotyka absolwentów

Konsekwencje dla bezpieczeństwa

William LeGate, ściśle współpracujący z platformą, powtórzył, że problem został rozwiązany i zadeklarował, że poszkodowani użytkownicy otrzymają pełną rekompensatę.

GoPlus Security opisało incydent jako atak na łańcuch dostaw, podając, że dotkniętych zostało około 15 kont, a straty wyniosły 3 miliony dolarów.

Bubblemaps doszedł do podobnych wniosków i pochwalił reakcję Polymarket po tym, jak środki zostały wyprowadzone, a luka została załatana.

Najnowsze naruszenie zwiększa presję, ponieważ nastąpiło po innym incydencie w zeszłym miesiącu, kiedy portfel administratora używany do doładowań nagród pracowniczych stracił około 700 000 dolarów, prawdopodobnie w wyniku kompromitacji klucza prywatnego.

Kryptodetektyw ZachXBT początkowo oszacował tamtą stratę na około 520 000 dolarów, zanim Bubblemaps podał wyższą kwotę po prześledzeniu środków na kilku adresach.

Deweloper Josh Stevens stwierdził, że 6-letni klucz prywatny został ujawniony przez wewnętrzną konfigurację, po czym firma dokonała rotacji poświadczeń i przeszła na usługi zarządzania kluczami.

Oba naruszenia dotknęły systemów otaczających rynki predykcyjne, a nie samych rynków, ale nastąpiły w trudnym dla firmy okresie. Wall Street Journal niedawno poinformował, że Polymarket płacił twórcom w wieku studenckim 2 000–3 000 dolarów miesięcznie za publikowanie inscenizowanych filmów o zakładach, a inny trader twierdził w tym miesiącu, że zmiany zasad związane z rynkiem sprzedaży Bitcoina Strategy kosztowały go 500 000 dolarów.

Następny artykuł: Hakerzy BlueNoroff z Korei Północnej używali wygenerowanych przez AI fałszywych rozmów na Zoom, by włamać się do 100 firm krypto

Zastrzeżenie i ostrzeżenie o ryzyku: Informacje zawarte w tym artykule służą wyłącznie celom edukacyjnym i informacyjnym i opierają się na opinii autora. Nie stanowią one porad finansowych, inwestycyjnych, prawnych czy podatkowych. Aktywa kryptowalutowe są bardzo zmienne i podlegają wysokiemu ryzyku, w tym ryzyku utraty całości lub znacznej części Twojej inwestycji. Handel lub posiadanie aktywów krypto może nie być odpowiednie dla wszystkich inwestorów. Poglądy wyrażone w tym artykule są wyłącznie poglądami autora/autorów i nie reprezentują oficjalnej polityki lub stanowiska Yellow, jej założycieli lub dyrektorów. Zawsze przeprowadź własne dokładne badania (D.Y.O.R.) i skonsultuj się z licencjonowanym specjalistą finansowym przed podjęciem jakiejkolwiek decyzji inwestycyjnej.
Polymarket traci 3 mln USD w ataku na frontend, potem obiecuje pełny zwrot środków | Yellow