Polymarket poinformował, że w pełni zwróci środki użytkownikom po tym, jak skompromitowany skrypt dostawcy wyciągnął około 3 mln dolarów z mniej niż 15 kont.
Kluczowe informacje:
- Polymarket podał, że kompromitacja zewnętrznego dostawcy wstrzyknęła złośliwy kod do jego frontendu.
- Badacze bezpieczeństwa oszacowali straty na około 3 mln dolarów, przy mniej niż 15 dotkniętych kontach.
- Naruszenie nastąpiło po osobnym incydencie z portfelem administratora, który nie dotknął środków użytkowników.
Atak na Polymarket
Polymarket potwierdził w piątek, że atakujący wykorzystali skompromitowanego zewnętrznego dostawcę do umieszczenia złośliwego kodu we froncie serwisu, narażając część użytkowników na atak wyczerpujący portfele.
Naruszenie jako pierwszy zgłosił badacz bezpieczeństwa on-chain Specter, który stwierdził, że pozornie phishingowa kampania wyczyściła środki z ponad 11 portfeli posiadających PUSD (PUSD), stablecoina Polymarket.
Specter oszacował straty na 2,94 mln dolarów, podczas gdy PeckShield później potwierdził podobną kwotę i podał, że atakujący przeniósł środki z Polygon (POL) na Ethereum (ETH), a następnie zamienił je na 1 893 ETH.
Platforma potwierdziła naruszenie przez konto Polymarket Traders w serwisie X, informując, że podatna zależność została usunięta, a poszkodowani użytkownicy będą kontaktowani bezpośrednio.
„Dziś rano odkryliśmy, że zewnętrzny dostawca został skompromitowany, wstrzykując złośliwy skrypt do naszego frontendu dla części użytkowników. Opanowaliśmy sytuację i usunęliśmy podatną zależność” – napisano. „Kontaktujemy się z poszkodowanymi użytkownikami i w pełni im refundujemy środki.”
Skutki dla bezpieczeństwa
William LeGate, ściśle współpracujący z platformą, powtórzył, że problem został rozwiązany i zapowiedział pełną kompensację dla poszkodowanych użytkowników.
GoPlus Security opisał incydent jako atak na łańcuch dostaw, podając, że dotkniętych zostało około 15 kont, a straty wyniosły 3 mln dolarów.
Bubblemaps doszedł do podobnych wniosków i pochwalił reakcję Polymarket po tym, jak środki zostały wyprowadzone, a luka została załatana.
Najnowsze naruszenie zwiększa presję, ponieważ nastąpiło po innym incydencie w zeszłym miesiącu, kiedy portfel administratora używany do doładowywania nagród dla pracowników stracił około 700 000 dolarów, prawdopodobnie z powodu kompromitacji klucza prywatnego.
Łowca kryptowalut ZachXBT początkowo oszacował tamtą stratę na około 520 000 dolarów, zanim Bubblemaps podał wyższą kwotę po prześledzeniu środków na kilku adresach.
Programista Josh Stevens wyjaśnił, że 6‑letni klucz prywatny został ujawniony przez wewnętrzną konfigurację, po czym firma wymieniła dane uwierzytelniające i przeszła na usługi zarządzania kluczami.
Oba naruszenia dotyczyły systemów wokół rynków predykcyjnych, a nie samych rynków, ale nastąpiły w trudnym okresie dla firmy. Wall Street Journal niedawno ujawnił, że Polymarket płacił twórcom w wieku studenckim od 2 000 do 3 000 dolarów miesięcznie za publikowanie inscenizowanych filmów z obstawianiem, a inny trader twierdził w tym miesiącu, że zmiany zasad powiązane z rynkiem sprzedaży Bitcoina Strategy kosztowały go 500 000 dolarów.