Polymarket ระบุว่าจะชดใช้ผู้ใช้เต็มจำนวน หลังจากสคริปต์ของผู้ให้บริการภายนอกถูกเจาะและดูดทรัพย์สินประมาณ 3 ล้านดอลลาร์จากไม่ถึง 15 บัญชี
ประเด็นสำคัญ:
- Polymarket ระบุว่าผู้ให้บริการภายนอกถูกเจาะและถูกฝังโค้ดอันตรายในหน้าเว็บของแพลตฟอร์ม
- นักวิจัยด้านความปลอดภัยติดตามความเสียหายได้ราว 3 ล้านดอลลาร์ จากบัญชีที่ได้รับผลกระทบไม่ถึง 15 บัญชี
- การละเมิดครั้งนี้เกิดตามหลังเหตุการณ์กระเป๋าแอดมินที่ไม่กระทบเงินของผู้ใช้
การแฮ็ก Polymarket
Polymarket ยืนยัน เมื่อวันศุกร์ว่า ผู้โจมตีใช้ผู้ให้บริการภายนอกที่ถูกเจาะเพื่อฝังโค้ดอันตรายลงในหน้าเว็บของแพลตฟอร์ม ทำให้ผู้ใช้บางส่วนเผชิญกับการโจมตีดูดเงินจากกระเป๋าเงินคริปโต
การละเมิดถูกแจ้งเตือนครั้งแรกโดยนักวิจัยความปลอดภัยบนเชน Specter ซึ่งระบุว่าแคมเปญฟิชชิงทำให้เงินถูกดูดออกจากกระเป๋ากว่า 11 ใบที่ถือ PUSD (PUSD) สเตเบิลคอยน์ของ Polymarket
Specter ประเมินความเสียหายไว้ที่ 2.94 ล้านดอลลาร์ ขณะที่ PeckShield ยืนยันตัวเลขใกล้เคียงกัน และระบุว่าผู้โจมตีได้บริดจ์เงินจาก Polygon (POL) ไปยัง Ethereum (ETH) ก่อนจะแปลงเป็น 1,893 ETH
แพลตฟอร์มยอมรับการละเมิดผ่านบัญชี Polymarket Traders บน X โดยระบุว่าการพึ่งพา (dependency) ที่ได้รับผลกระทบถูกลบออกแล้ว และจะติดต่อผู้ใช้ที่ได้รับผลกระทบโดยตรง
“เช้านี้เราได้พบว่าผู้ให้บริการภายนอกรายหนึ่งถูกเจาะ ทำให้มีการฉีดสคริปต์อันตรายเข้าไปในหน้าเว็บสำหรับผู้ใช้บางราย เราได้ควบคุมสถานการณ์และลบ dependency ที่ได้รับผลกระทบออกแล้ว” แพลตฟอร์มเขียน “เรากำลังติดต่อผู้ใช้ที่ได้รับผลกระทบและคืนเงินให้เต็มจำนวน”
อ่านเพิ่มเติม: ผู้ร่วมก่อตั้ง Anthropic ระบุ คลื่นช็อกด้านงานจาก AI ลูกแรกเริ่มกระทบกลุ่มบัณฑิตจบใหม่
ผลกระทบด้านความปลอดภัย
William LeGate ซึ่งทำงานใกล้ชิดกับแพลตฟอร์ม ย้ำว่าปัญหาได้รับการแก้ไขแล้ว และระบุว่าผู้ใช้ที่ได้รับผลกระทบจะได้รับการชดเชยเต็มจำนวน
GoPlus Security อธิบายเหตุการณ์นี้ว่าเป็นการโจมตีห่วงโซ่อุปทาน (supply chain attack) โดยระบุว่ามีบัญชีได้รับผลกระทบราว 15 บัญชี และความเสียหายรวม 3 ล้านดอลลาร์
Bubblemaps ได้ข้อสรุปในทิศทางเดียวกัน และชื่นชมการตอบสนองของ Polymarket หลังจากเงินถูกดูดออกไปและช่องโหว่ถูกปิดกั้น
การละเมิดล่าสุดเพิ่มแรงกดดันให้แพลตฟอร์ม เนื่องจากเกิดตามหลังเหตุการณ์เมื่อเดือนก่อนที่กระเป๋าแอดมินซึ่งใช้เติมรางวัลพนักงานสูญเงินไปราว 700,000 ดอลลาร์ น่าจะมาจากการที่กุญแจส่วนตัวถูกเปิดเผย
นักสืบคริปโต ZachXBT ประเมินความเสียหายครั้งก่อนครั้งแรกไว้ราว 520,000 ดอลลาร์ ก่อนที่ Bubblemaps จะอ้างตัวเลขที่สูงกว่าหลังติดตามเส้นทางเงินหลายที่อยู่
นักพัฒนา Josh Stevens ระบุว่ากุญแจส่วนตัวอายุ 6 ปีถูกเปิดเผยผ่านการตั้งค่าภายใน จากนั้นบริษัทจึงหมุนเวียนข้อมูลยืนยันตัวตนใหม่และย้ายไปใช้บริการจัดการกุญแจ (key management services)
การละเมิดทั้งสองครั้งกระทบต่อระบบที่อยู่รอบตลาดทำนาย (prediction markets) มากกว่าตัวตลาดเอง แต่กลับเกิดขึ้นในช่วงเวลายากลำบากของบริษัท Wall Street Journal รายงานเมื่อไม่นานนี้ว่า Polymarket จ่ายเงินให้ครีเอเตอร์วัยนักศึกษาเดือนละ 2,000–3,000 ดอลลาร์เพื่อโพสต์วิดีโอเดิมพันจัดฉาก และยังมีเทรดเดอร์อีกรายที่อ้างในเดือนนี้ว่าการเปลี่ยนกฎที่เกี่ยวข้องกับตลาดขายบิตคอยน์ในหมวด Strategy ทำให้ตนเองขาดทุน 500,000 ดอลลาร์
อ่านต่อ: แฮ็กเกอร์ BlueNoroff ของเกาหลีเหนือใช้วิดีโอคอล Zoom ปลอมจาก AI เจาะผู้บริหารคริปโต 100 ราย





