Polymarket perde US$ 3 milhões em ataque ao frontend e depois promete reembolso total

Polymarket perde US$ 3 milhões em ataque ao frontend e depois promete reembolso total

Polymarket afirmou que irá reembolsar totalmente os usuários após um script de fornecedor comprometido drenar cerca de US$ 3 milhões de menos de 15 contas.

Pontos principais:

  • A Polymarket disse que o comprometimento de um fornecedor terceirizado injetou código malicioso em seu frontend.
  • Pesquisadores de segurança rastrearam cerca de US$ 3 milhões em perdas em menos de 15 contas afetadas.
  • A violação ocorre após um incidente separado com uma carteira de administrador que não afetou fundos de usuários.

Hack da Polymarket

A Polymarket confirmou na sexta-feira que atacantes usaram um fornecedor terceirizado comprometido para inserir código malicioso em seu frontend, expondo alguns usuários a um ataque de drenagem de carteira.

A violação foi primeiro sinalizada pelo pesquisador de segurança on-chain Specter, que disse que uma aparente campanha de phishing drenou fundos de mais de 11 carteiras que mantinham PUSD (PUSD), a stablecoin da Polymarket.

Specter estimou as perdas em US$ 2,94 milhões, enquanto a PeckShield depois confirmou um valor semelhante e disse que o atacante fez bridge dos fundos de Polygon (POL) para Ethereum (ETH), convertendo-os em 1.893 ETH.

A plataforma reconheceu a violação por meio de sua conta Polymarket Traders no X, dizendo que a dependência afetada havia sido removida e que os usuários impactados seriam contatados diretamente.

“Nesta manhã, descobrimos que um fornecedor terceirizado havia sido comprometido, injetando um script malicioso em nosso frontend para alguns usuários. Contivemos o problema e removemos a dependência afetada”, escreveu. “Estamos contatando os usuários impactados e reembolsando-os integralmente.”

Veja também: Cofundador da Anthropic diz que o primeiro grande choque de empregos da IA está atingindo os graduados

Repercussões de segurança

William LeGate, que trabalha de perto com a plataforma, reiterou que o problema havia sido resolvido e disse que os usuários afetados receberiam compensação total.

A GoPlus Security descreveu o incidente como um ataque à cadeia de suprimentos, dizendo que cerca de 15 contas foram afetadas e que as perdas totalizaram US$ 3 milhões.

A Bubblemaps chegou à mesma conclusão geral e elogiou a resposta da Polymarket depois que os fundos foram drenados e o exploit foi contido.

A violação mais recente aumenta a pressão porque segue outro incidente no mês passado, quando uma carteira de administrador usada para recargas de recompensas de funcionários perdeu cerca de US$ 700.000, provavelmente por comprometimento de chave privada.

O investigador de cripto ZachXBT inicialmente estimou essa perda anterior em cerca de US$ 520.000, antes de a Bubblemaps citar o valor mais alto após rastrear fundos em vários endereços.

O desenvolvedor Josh Stevens disse que uma chave privada de 6 anos havia sido exposta por meio de configuração interna, após o que a empresa rotacionou credenciais e migrou para serviços de gerenciamento de chaves.

Ambas as violações afetaram sistemas em torno dos mercados de previsões, e não os mercados em si, mas ocorreram em um período difícil para a empresa. O Wall Street Journal informou recentemente que a Polymarket pagou a criadores em idade universitária de US$ 2.000 a US$ 3.000 por mês para publicar vídeos encenados de apostas, e outro trader afirmou neste mês que mudanças de regras ligadas a um mercado de venda de Bitcoin Strategy lhe custaram US$ 500.000.

Próxima leitura: Hackers BlueNoroff da Coreia do Norte usaram chamadas falsas de Zoom geradas por IA para violar 100 executivos de cripto

Isenção de responsabilidade e aviso de risco: As informações fornecidas neste artigo são apenas para fins educacionais e informativos e são baseadas na opinião do autor. Elas não constituem aconselhamento financeiro, de investimento, jurídico ou tributário. Ativos de criptomoedas são altamente voláteis e sujeitos a alto risco, incluindo o risco de perder todo ou uma quantia substancial do seu investimento. Negociar ou manter ativos cripto pode não ser adequado para todos os investidores. As opiniões expressas neste artigo são exclusivamente do(s) autor(es) e não representam a política oficial ou posição da Yellow, seus fundadores ou seus executivos. Sempre conduza sua própria pesquisa minuciosa (D.Y.O.R.) e consulte um profissional financeiro licenciado antes de tomar qualquer decisão de investimento.
Polymarket perde US$ 3 milhões em ataque ao frontend e depois promete reembolso total | Yellow