Polymarket заявила, что полностью возместит убытки пользователям после того, как скомпрометированный скрипт подрядчика вывел около $3 млн с менее чем 15 аккаунтов.
Ключевые моменты:
- Polymarket сообщила, что компрометация стороннего подрядчика внедрила вредоносный код во фронтенд платформы.
- Исследователи безопасности отследили примерно $3 млн убытков по менее чем 15 затронутым аккаунтам.
- Взлом последовал за отдельным инцидентом с админ‑кошельком, который не затронул средства пользователей.
Взлом Polymarket
Polymarket подтвердила в пятницу, что злоумышленники использовали скомпрометированного стороннего подрядчика, чтобы разместить вредоносный код на её фронтенде, подвергнув некоторых пользователей атаке на опустошение кошельков.
О взломе первой сообщила ончейн‑исследователь безопасности Specter, указав, что, по‑видимому, фишинговая кампания вывела средства более чем из 11 кошельков, хранящих PUSD (PUSD), стейблкоин Polymarket.
Specter оценила убытки в $2,94 млн, в то время как PeckShield позже подтвердила схожую цифру и сообщила, что злоумышленник перебросил средства из Polygon (POL) в Ethereum (ETH), а затем конвертировал их в 1 893 ETH.
Платформа признала взлом через аккаунт Polymarket Traders в X, сообщив, что уязвимая зависимость была удалена и что с пострадавшими пользователями свяжутся напрямую.
«Сегодня утром мы обнаружили, что сторонний подрядчик был скомпрометирован, внедрив вредоносный скрипт в наш фронтенд для некоторых пользователей. Мы локализовали проблему и удалили затронутую зависимость», — написали там. «Мы связываемся с пострадавшими пользователями и полностью возмещаем им средства».
Также читайте: Сооснователь Anthropic заявляет, что первый реальный шок на рынке труда от ИИ обрушился на выпускников
Последствия для безопасности
Уильям ЛеГейт, тесно сотрудничающий с платформой, подтвердил, что проблема решена, и заявил, что пострадавшие пользователи получат полную компенсацию.
GoPlus Security охарактеризовала инцидент как атаку на цепочку поставок, указав, что было затронуто около 15 аккаунтов, а общие потери составили $3 млн.
Bubblemaps пришла к тем же общим выводам и похвалила реакцию Polymarket после того, как средства были выведены, а эксплойт — локализован.
Последний взлом усиливает давление, поскольку последовал за другим инцидентом в прошлом месяце, когда админ‑кошелёк, используемый для бонусных начислений сотрудникам, потерял около $700 000, вероятно из‑за компрометации приватного ключа.
Крипто‑детектив ZachXBT изначально оценил ту потерю примерно в $520 000, прежде чем Bubblemaps позже указала более высокую сумму после отслеживания средств по нескольким адресам.
Разработчик Джош Стивенс сообщил, что шестилетний приватный ключ был раскрыт через внутреннюю конфигурацию, после чего компания сменила учётные данные и перешла на сервисы управления ключами.
Оба взлома затронули системы вокруг рынков предсказаний, а не сами рынки, но произошли в сложный период для компании. Wall Street Journal недавно сообщил, что Polymarket платила создателям студенческого возраста по $2 000–3 000 в месяц за публикацию постановочных видео о ставках, а другой трейдер в этом месяце заявил, что изменения правил, связанные с рынком продажи биткоина Strategy, обошлись ему в $500 000.
Читайте далее: Хакеры BlueNoroff из КНДР использовали сгенерированные ИИ поддельные звонки в Zoom, чтобы взломать 100 крипто‑руководителей