Polymarket perde US$ 3 milhões em ataque ao frontend e promete ressarcimento total

Polymarket perde US$ 3 milhões em ataque ao frontend e promete ressarcimento total

Polymarket disse que irá ressarcir totalmente os usuários depois que um script de fornecedor comprometido drenou cerca de US$ 3 milhões de menos de 15 contas.

Pontos-chave:

  • A Polymarket disse que um comprometimento de fornecedor terceirizado injetou código malicioso em seu frontend.
  • Pesquisadores de segurança rastrearam cerca de US$ 3 milhões em perdas em menos de 15 contas afetadas.
  • A violação ocorre após um incidente separado com uma carteira de administrador que não afetou fundos de usuários.

Hack da Polymarket

A Polymarket confirmou na sexta-feira que invasores usaram um fornecedor terceirizado comprometido para inserir código malicioso em seu frontend, expondo alguns usuários a um ataque de drenagem de carteiras.

A violação foi sinalizada primeiro pelo pesquisador de segurança on-chain Specter, que disse que uma aparente campanha de phishing drenou fundos de mais de 11 carteiras que detinham PUSD (PUSD), a stablecoin da Polymarket.

Specter estimou as perdas em US$ 2,94 milhões, enquanto a PeckShield depois confirmou um valor semelhante e disse que o invasor fez bridge dos fundos de Polygon (POL) para Ethereum (ETH), convertendo-os então em 1.893 ETH.

A plataforma reconheceu a violação por meio de sua conta Polymarket Traders no X, dizendo que a dependência afetada havia sido removida e que os usuários impactados seriam contatados diretamente.

“Hoje de manhã descobrimos que um fornecedor terceirizado havia sido comprometido, injetando um script malicioso em nosso frontend para alguns usuários. Contivemos o problema e removemos a dependência afetada”, escreveu. “Estamos entrando em contato com os usuários impactados e reembolsando-os integralmente.”

Leia também: Cofundador da Anthropic diz que primeiro grande impacto da IA no emprego atinge graduados

Repercussões de segurança

William LeGate, que trabalha de perto com a plataforma, reiterou que o problema havia sido resolvido e disse que os usuários afetados receberiam compensação total.

A GoPlus Security descreveu o incidente como um ataque à cadeia de suprimentos, dizendo que cerca de 15 contas foram afetadas e que as perdas somaram US$ 3 milhões.

A Bubblemaps chegou à mesma conclusão geral e elogiou a resposta da Polymarket depois que os fundos foram drenados e o exploit foi contido.

A violação mais recente aumenta a pressão porque vem na sequência de outro incidente no mês passado, quando uma carteira de administrador usada para recompensas de funcionários perdeu cerca de US$ 700.000, provavelmente devido ao comprometimento de uma chave privada.

O investigador cripto ZachXBT inicialmente estimou aquela perda em cerca de US$ 520.000, antes de a Bubblemaps citar depois o valor maior após rastrear fundos em vários endereços.

O desenvolvedor Josh Stevens disse que uma chave privada de 6 anos foi exposta por meio de configuração interna, após o que a empresa rotacionou credenciais e migrou para serviços de gerenciamento de chaves.

As duas violações afetaram sistemas em torno dos mercados de previsão, e não os próprios mercados, mas ocorreram em um período difícil para a empresa. O Wall Street Journal noticiou recentemente que a Polymarket pagou a criadores em idade universitária de US$ 2.000 a US$ 3.000 por mês para publicar vídeos encenados de apostas, e outro trader afirmou neste mês que mudanças de regras ligadas a um mercado de venda de Bitcoin Strategy lhe custaram US$ 500.000.

Leia a seguir: Hackers BlueNoroff da Coreia do Norte usaram falsas chamadas de Zoom geradas por IA para atacar 100 executivos de cripto

Disclaimer e aviso de risco: As informações fornecidas neste artigo são apenas para fins educacionais e informativos e baseiam-se na opinião do autor. Não constituem aconselhamento financeiro, de investimento, legal ou fiscal. Os ativos de criptomoeda são altamente voláteis e sujeitos a alto risco, incluindo o risco de perder todo ou uma quantia substancial do seu investimento. Negociar ou deter ativos cripto pode não ser adequado para todos os investidores. As opiniões expressas neste artigo são exclusivamente do(s) autor(es) e não representam a política oficial ou posição da Yellow, seus fundadores ou executivos. Sempre conduza a sua própria pesquisa minuciosa (D.Y.O.R.) e consulte um profissional financeiro licenciado antes de tomar qualquer decisão de investimento.
Polymarket perde US$ 3 milhões em ataque ao frontend e promete ressarcimento total | Yellow