Polymarket poinformował, że w pełni zwróci środki użytkownikom po tym, jak skompromitowany skrypt dostawcy wyprowadził około 3 miliony dolarów z mniej niż 15 kont.
Kluczowe punkty:
- Polymarket podał, że kompromitacja zewnętrznego dostawcy wstrzyknęła złośliwy kod do jego frontendu.
- Badacze bezpieczeństwa oszacowali straty na około 3 miliony dolarów w mniej niż 15 dotkniętych kontach.
- Naruszenie nastąpiło po odrębnym incydencie z portfelem administratora, który nie dotknął środków użytkowników.
Atak na Polymarket
Polymarket potwierdził w piątek, że atakujący wykorzystali skompromitowanego zewnętrznego dostawcę, aby umieścić złośliwy kod w jego frontendzie, narażając część użytkowników na atak opróżniający portfele.
Naruszenie zostało najpierw wykryte przez badacza bezpieczeństwa on-chain Specter, który stwierdził, że pozorna kampania phishingowa opróżniła środki z ponad 11 portfeli posiadających PUSD (PUSD), stablecoina Polymarket.
Specter oszacował straty na 2,94 miliona dolarów, podczas gdy PeckShield później potwierdził podobną kwotę i podał, że napastnik przeniósł środki z Polygon (POL) do Ethereum (ETH), a następnie zamienił je na 1 893 ETH.
Platforma potwierdziła naruszenie przez konto Polymarket Traders na X, informując, że podatna zależność została usunięta, a poszkodowani użytkownicy zostaną skontaktowani bezpośrednio.
„Dziś rano odkryliśmy, że zewnętrzny dostawca został skompromitowany, wstrzykując złośliwy skrypt do naszego frontendu dla części użytkowników. Opanowaliśmy sytuację i usunęliśmy podatną zależność” – napisano. „Kontaktujemy się z poszkodowanymi użytkownikami i w pełni im zwracamy środki”.
Przeczytaj też: Współzałożyciel Anthropic mówi, że pierwszy prawdziwy wstrząs na rynku pracy przez AI dotyka absolwentów
Konsekwencje dla bezpieczeństwa
William LeGate, ściśle współpracujący z platformą, powtórzył, że problem został rozwiązany i zadeklarował, że poszkodowani użytkownicy otrzymają pełną rekompensatę.
GoPlus Security opisało incydent jako atak na łańcuch dostaw, podając, że dotkniętych zostało około 15 kont, a straty wyniosły 3 miliony dolarów.
Bubblemaps doszedł do podobnych wniosków i pochwalił reakcję Polymarket po tym, jak środki zostały wyprowadzone, a luka została załatana.
Najnowsze naruszenie zwiększa presję, ponieważ nastąpiło po innym incydencie w zeszłym miesiącu, kiedy portfel administratora używany do doładowań nagród pracowniczych stracił około 700 000 dolarów, prawdopodobnie w wyniku kompromitacji klucza prywatnego.
Kryptodetektyw ZachXBT początkowo oszacował tamtą stratę na około 520 000 dolarów, zanim Bubblemaps podał wyższą kwotę po prześledzeniu środków na kilku adresach.
Deweloper Josh Stevens stwierdził, że 6-letni klucz prywatny został ujawniony przez wewnętrzną konfigurację, po czym firma dokonała rotacji poświadczeń i przeszła na usługi zarządzania kluczami.
Oba naruszenia dotknęły systemów otaczających rynki predykcyjne, a nie samych rynków, ale nastąpiły w trudnym dla firmy okresie. Wall Street Journal niedawno poinformował, że Polymarket płacił twórcom w wieku studenckim 2 000–3 000 dolarów miesięcznie za publikowanie inscenizowanych filmów o zakładach, a inny trader twierdził w tym miesiącu, że zmiany zasad związane z rynkiem sprzedaży Bitcoina Strategy kosztowały go 500 000 dolarów.
Następny artykuł: Hakerzy BlueNoroff z Korei Północnej używali wygenerowanych przez AI fałszywych rozmów na Zoom, by włamać się do 100 firm krypto





