Polymarket ระบุว่าจะชดใช้เงินให้ผู้ใช้เต็มจำนวน หลังสคริปต์จากผู้ให้บริการภายนอกที่ถูกเจาะ ดูดเงินไปราว 3 ล้านดอลลาร์จากบัญชีไม่ถึง 15 บัญชี
ประเด็นสำคัญ:
- Polymarket ระบุว่าการประนีประนอมผู้ให้บริการภายนอกทำให้โค้ดอันตรายถูกฝังในหน้าเว็บของแพลตฟอร์ม
- นักวิจัยด้านความปลอดภัยติดตามความสูญเสียราว 3 ล้านดอลลาร์จากบัญชีที่ได้รับผลกระทบไม่ถึง 15 บัญชี
- เหตุการณ์ครั้งนี้เกิดขึ้นต่อเนื่องจากเหตุวอลเล็ตแอดมิน ซึ่งไม่ได้กระทบเงินของผู้ใช้
การแฮ็ก Polymarket
Polymarket ยืนยัน เมื่อวันศุกร์ว่าผู้โจมตีใช้ผู้ให้บริการภายนอกที่ถูกเจาะฝังโค้ดอันตรายลงในหน้าเว็บ ทำให้ผู้ใช้บางรายเผชิญการโจมตีดูดเงินออกจากวอลเล็ต
การละเมิดถูกพบครั้งแรกโดยนักวิจัยความปลอดภัยบนเชน Specter ซึ่งระบุว่ามีแคมเปญฟิชชิง ดูดเงินจากวอลเล็ตมากกว่า 11 ใบที่ถือ PUSD (PUSD) สเตเบิลคอยน์ของ Polymarket
Specter ประเมินความเสียหายไว้ที่ 2.94 ล้านดอลลาร์ ขณะที่ PeckShield ยืนยันตัวเลขใกล้เคียงกัน และระบุว่าผู้โจมตีบริดจ์เงินจาก Polygon (POL) ไปยัง Ethereum (ETH) ก่อนจะแปลงเป็น 1,893 ETH
แพลตฟอร์มยอมรับการละเมิดผ่านบัญชี Polymarket Traders บน X โดยระบุว่าลบ dependency ที่ได้รับผลกระทบออกแล้ว และจะติดต่อผู้ใช้ที่ได้รับผลกระทบโดยตรง
“เช้านี้เราค้นพบว่าผู้ให้บริการภายนอกรายหนึ่งถูกเจาะ ทำให้มีการฝังสคริปต์อันตรายลงในหน้าเว็บของเรา สำหรับผู้ใช้บางราย ขณะนี้เราได้ควบคุมสถานการณ์และลบ dependency ที่ได้รับผลกระทบแล้ว” แพลตฟอร์มระบุ “เรากำลังติดต่อผู้ใช้ที่ได้รับผลกระทบและชดใช้เงินให้เต็มจำนวน”
อ่านเพิ่มเติม: ผู้ร่วมก่อตั้ง Anthropic ระบุว่าคลื่นช็อกงานจาก AI ระลอกแรกกำลังกระทบเด็กจบใหม่
ผลกระทบด้านความปลอดภัย
William LeGate ผู้ที่ทำงานใกล้ชิดกับแพลตฟอร์ม ย้ำว่าปัญหาได้รับการแก้ไขแล้ว และผู้ใช้ที่ได้รับผลกระทบจะได้รับชดเชยเต็มจำนวน
GoPlus Security อธิบายเหตุการณ์นี้ว่าเป็นการโจมตีห่วงโซ่อุปทาน (supply chain attack) โดยมีบัญชีได้รับผลกระทบราว 15 บัญชี และมูลค่าความสูญเสียรวม 3 ล้านดอลลาร์
Bubblemaps ได้ข้อสรุปในทิศทางเดียวกัน และชื่นชมการตอบสนองของ Polymarket หลังเงินถูกดูดออกไปและช่องโหว่ถูกควบคุม
การละเมิดครั้งล่าสุดเพิ่มแรงกดดันให้แพลตฟอร์ม เนื่องจากเกิดตามหลังเหตุการณ์เมื่อเดือนที่แล้ว เมื่อวอลเล็ตแอดมินที่ใช้เติมรางวัลให้พนักงานสูญเงินไปราว 700,000 ดอลลาร์ ซึ่งคาดว่าเกิดจาก private key ถูกเจาะ
นักสืบคริปโท ZachXBT เป็นคนแรกที่ประเมินความสูญเสียครั้งก่อนที่ราว 520,000 ดอลลาร์ ก่อนที่ Bubblemaps จะระบุยอดที่สูงขึ้นหลังติดตามเงินข้ามหลายที่อยู่
นักพัฒนา Josh Stevens ระบุว่า private key อายุ 6 ปีถูกเปิดเผยผ่านการตั้งค่าภายใน หลังจากนั้นบริษัทได้หมุนเวียนข้อมูลรับรองและย้ายไปใช้บริการจัดการกุญแจ
ทั้งสองเหตุการณ์กระทบกับระบบรอบๆ ตลาดทำนายเหตุการณ์ มากกว่าตัวตลาดเอง แต่ก็เกิดขึ้นในช่วงเวลาที่บริษัทกำลังเผชิญความท้าทายอย่างหนัก โดย Wall Street Journal เพิ่งรายงานว่า Polymarket จ่ายเงินให้ครีเอเตอร์วัยมหาลัย เดือนละ 2,000–3,000 ดอลลาร์ เพื่อโพสต์วิดีโอพนันที่จัดฉาก และเทรดเดอร์อีกรายยังอ้างในเดือนนี้ว่าการเปลี่ยนกติกาที่เชื่อมโยงกับตลาดขายบิตคอยน์แบบ Strategy ทำให้เขาสูญเงินไป 500,000 ดอลลาร์