Polymarket disse que irá reembolsar totalmente os usuários depois que um script de fornecedor comprometido drenou cerca de US$ 3 milhões de menos de 15 contas.
Pontos-chave:
- A Polymarket afirmou que o comprometimento de um fornecedor terceirizado injetou código malicioso em seu frontend.
- Pesquisadores de segurança rastrearam cerca de US$ 3 milhões em perdas em menos de 15 contas afetadas.
- A violação segue um incidente separado com uma carteira de administrador que não afetou fundos de usuários.
Hack da Polymarket
A Polymarket confirmou na sexta-feira que atacantes usaram um fornecedor terceirizado comprometido para inserir código malicioso em seu frontend, expondo alguns usuários a um ataque de drenagem de carteira.
A violação foi sinalizada primeiro pelo pesquisador de segurança on-chain Specter, que disse que uma aparente campanha de phishing havia drenado fundos de mais de 11 carteiras que detinham PUSD (PUSD), a stablecoin da Polymarket.
Specter estimou as perdas em US$ 2,94 milhões, enquanto a PeckShield depois confirmou um número semelhante e disse que o atacante fez bridge dos fundos de Polygon (POL) para Ethereum (ETH), convertendo-os em 1.893 ETH.
A plataforma reconheceu a violação por meio da conta Polymarket Traders no X, dizendo que a dependência afetada havia sido removida e que os usuários impactados seriam contatados diretamente.
“Nesta manhã descobrimos que um fornecedor terceirizado havia sido comprometido, injetando um script malicioso em nosso frontend para alguns usuários. Contivemos o problema e removemos a dependência afetada”, escreveu. “Estamos entrando em contato com os usuários impactados e os reembolsando integralmente.”
Leia também: Cofundador da Anthropic diz que o primeiro grande impacto de empregos da IA está atingindo recém-formados
Consequências de segurança
William LeGate, que trabalha de perto com a plataforma, reiterou que o problema havia sido resolvido e afirmou que os usuários afetados receberiam compensação total.
A GoPlus Security descreveu o incidente como um ataque à cadeia de suprimentos, dizendo que cerca de 15 contas foram afetadas e que as perdas totalizaram US$ 3 milhões.
A Bubblemaps chegou à mesma conclusão geral e elogiou a resposta da Polymarket depois que os fundos foram drenados e o exploit foi contido.
A violação mais recente aumenta a pressão porque vem após outro incidente no mês passado, quando uma carteira de administrador usada para recompensas de funcionários perdeu cerca de US$ 700.000, provavelmente devido ao comprometimento de uma chave privada.
O investigador cripto ZachXBT estimou inicialmente essa perda anterior em cerca de US$ 520.000, antes de a Bubblemaps citar o valor mais alto após rastrear fundos em vários endereços.
O desenvolvedor Josh Stevens disse que uma chave privada de 6 anos havia sido exposta por meio de configuração interna, após o que a empresa rotacionou credenciais e migrou para serviços de gestão de chaves.
As duas violações afetaram sistemas em torno dos mercados de previsão, e não os mercados em si, mas ocorreram durante um período difícil para a empresa. O Wall Street Journal noticiou recentemente que a Polymarket pagou a criadores em idade universitária entre US$ 2.000 e US$ 3.000 por mês para postar vídeos encenados de apostas, e outro trader afirmou neste mês que mudanças de regras ligadas a um mercado de venda de Bitcoin de Strategy lhe custaram US$ 500.000.
Leia em seguida: Hackers BlueNoroff da Coreia do Norte usaram chamadas falsas de Zoom geradas por IA para invadir 100 executivos de cripto