Polymarket afirmou que irá reembolsar totalmente os usuários após um script de fornecedor comprometido drenar cerca de US$ 3 milhões de menos de 15 contas.
Pontos principais:
- A Polymarket disse que o comprometimento de um fornecedor terceirizado injetou código malicioso em seu frontend.
- Pesquisadores de segurança rastrearam cerca de US$ 3 milhões em perdas em menos de 15 contas afetadas.
- A violação ocorre após um incidente separado com uma carteira de administrador que não afetou fundos de usuários.
Hack da Polymarket
A Polymarket confirmou na sexta-feira que atacantes usaram um fornecedor terceirizado comprometido para inserir código malicioso em seu frontend, expondo alguns usuários a um ataque de drenagem de carteira.
A violação foi primeiro sinalizada pelo pesquisador de segurança on-chain Specter, que disse que uma aparente campanha de phishing drenou fundos de mais de 11 carteiras que mantinham PUSD (PUSD), a stablecoin da Polymarket.
Specter estimou as perdas em US$ 2,94 milhões, enquanto a PeckShield depois confirmou um valor semelhante e disse que o atacante fez bridge dos fundos de Polygon (POL) para Ethereum (ETH), convertendo-os em 1.893 ETH.
A plataforma reconheceu a violação por meio de sua conta Polymarket Traders no X, dizendo que a dependência afetada havia sido removida e que os usuários impactados seriam contatados diretamente.
“Nesta manhã, descobrimos que um fornecedor terceirizado havia sido comprometido, injetando um script malicioso em nosso frontend para alguns usuários. Contivemos o problema e removemos a dependência afetada”, escreveu. “Estamos contatando os usuários impactados e reembolsando-os integralmente.”
Veja também: Cofundador da Anthropic diz que o primeiro grande choque de empregos da IA está atingindo os graduados
Repercussões de segurança
William LeGate, que trabalha de perto com a plataforma, reiterou que o problema havia sido resolvido e disse que os usuários afetados receberiam compensação total.
A GoPlus Security descreveu o incidente como um ataque à cadeia de suprimentos, dizendo que cerca de 15 contas foram afetadas e que as perdas totalizaram US$ 3 milhões.
A Bubblemaps chegou à mesma conclusão geral e elogiou a resposta da Polymarket depois que os fundos foram drenados e o exploit foi contido.
A violação mais recente aumenta a pressão porque segue outro incidente no mês passado, quando uma carteira de administrador usada para recargas de recompensas de funcionários perdeu cerca de US$ 700.000, provavelmente por comprometimento de chave privada.
O investigador de cripto ZachXBT inicialmente estimou essa perda anterior em cerca de US$ 520.000, antes de a Bubblemaps citar o valor mais alto após rastrear fundos em vários endereços.
O desenvolvedor Josh Stevens disse que uma chave privada de 6 anos havia sido exposta por meio de configuração interna, após o que a empresa rotacionou credenciais e migrou para serviços de gerenciamento de chaves.
Ambas as violações afetaram sistemas em torno dos mercados de previsões, e não os mercados em si, mas ocorreram em um período difícil para a empresa. O Wall Street Journal informou recentemente que a Polymarket pagou a criadores em idade universitária de US$ 2.000 a US$ 3.000 por mês para publicar vídeos encenados de apostas, e outro trader afirmou neste mês que mudanças de regras ligadas a um mercado de venda de Bitcoin Strategy lhe custaram US$ 500.000.
Próxima leitura: Hackers BlueNoroff da Coreia do Norte usaram chamadas falsas de Zoom geradas por IA para violar 100 executivos de cripto





