Polymarket สูญเงิน 3 ล้านดอลลาร์จากการแฮ็กหน้าเว็บ แล้วสัญญาชดใช้คืนเต็มจำนวน

Polymarket สูญเงิน 3 ล้านดอลลาร์จากการแฮ็กหน้าเว็บ แล้วสัญญาชดใช้คืนเต็มจำนวน

Polymarket ระบุว่าจะชดใช้ผู้ใช้เต็มจำนวน หลังจากสคริปต์ของผู้ให้บริการภายนอกถูกเจาะและดูดทรัพย์สินประมาณ 3 ล้านดอลลาร์จากไม่ถึง 15 บัญชี

ประเด็นสำคัญ:

  • Polymarket ระบุว่าผู้ให้บริการภายนอกถูกเจาะและถูกฝังโค้ดอันตรายในหน้าเว็บของแพลตฟอร์ม
  • นักวิจัยด้านความปลอดภัยติดตามความเสียหายได้ราว 3 ล้านดอลลาร์ จากบัญชีที่ได้รับผลกระทบไม่ถึง 15 บัญชี
  • การละเมิดครั้งนี้เกิดตามหลังเหตุการณ์กระเป๋าแอดมินที่ไม่กระทบเงินของผู้ใช้

การแฮ็ก Polymarket

Polymarket ยืนยัน เมื่อวันศุกร์ว่า ผู้โจมตีใช้ผู้ให้บริการภายนอกที่ถูกเจาะเพื่อฝังโค้ดอันตรายลงในหน้าเว็บของแพลตฟอร์ม ทำให้ผู้ใช้บางส่วนเผชิญกับการโจมตีดูดเงินจากกระเป๋าเงินคริปโต

การละเมิดถูกแจ้งเตือนครั้งแรกโดยนักวิจัยความปลอดภัยบนเชน Specter ซึ่งระบุว่าแคมเปญฟิชชิงทำให้เงินถูกดูดออกจากกระเป๋ากว่า 11 ใบที่ถือ PUSD (PUSD) สเตเบิลคอยน์ของ Polymarket

Specter ประเมินความเสียหายไว้ที่ 2.94 ล้านดอลลาร์ ขณะที่ PeckShield ยืนยันตัวเลขใกล้เคียงกัน และระบุว่าผู้โจมตีได้บริดจ์เงินจาก Polygon (POL) ไปยัง Ethereum (ETH) ก่อนจะแปลงเป็น 1,893 ETH

แพลตฟอร์มยอมรับการละเมิดผ่านบัญชี Polymarket Traders บน X โดยระบุว่าการพึ่งพา (dependency) ที่ได้รับผลกระทบถูกลบออกแล้ว และจะติดต่อผู้ใช้ที่ได้รับผลกระทบโดยตรง

“เช้านี้เราได้พบว่าผู้ให้บริการภายนอกรายหนึ่งถูกเจาะ ทำให้มีการฉีดสคริปต์อันตรายเข้าไปในหน้าเว็บสำหรับผู้ใช้บางราย เราได้ควบคุมสถานการณ์และลบ dependency ที่ได้รับผลกระทบออกแล้ว” แพลตฟอร์มเขียน “เรากำลังติดต่อผู้ใช้ที่ได้รับผลกระทบและคืนเงินให้เต็มจำนวน”

อ่านเพิ่มเติม: ผู้ร่วมก่อตั้ง Anthropic ระบุ คลื่นช็อกด้านงานจาก AI ลูกแรกเริ่มกระทบกลุ่มบัณฑิตจบใหม่

ผลกระทบด้านความปลอดภัย

William LeGate ซึ่งทำงานใกล้ชิดกับแพลตฟอร์ม ย้ำว่าปัญหาได้รับการแก้ไขแล้ว และระบุว่าผู้ใช้ที่ได้รับผลกระทบจะได้รับการชดเชยเต็มจำนวน

GoPlus Security อธิบายเหตุการณ์นี้ว่าเป็นการโจมตีห่วงโซ่อุปทาน (supply chain attack) โดยระบุว่ามีบัญชีได้รับผลกระทบราว 15 บัญชี และความเสียหายรวม 3 ล้านดอลลาร์

Bubblemaps ได้ข้อสรุปในทิศทางเดียวกัน และชื่นชมการตอบสนองของ Polymarket หลังจากเงินถูกดูดออกไปและช่องโหว่ถูกปิดกั้น

การละเมิดล่าสุดเพิ่มแรงกดดันให้แพลตฟอร์ม เนื่องจากเกิดตามหลังเหตุการณ์เมื่อเดือนก่อนที่กระเป๋าแอดมินซึ่งใช้เติมรางวัลพนักงานสูญเงินไปราว 700,000 ดอลลาร์ น่าจะมาจากการที่กุญแจส่วนตัวถูกเปิดเผย

นักสืบคริปโต ZachXBT ประเมินความเสียหายครั้งก่อนครั้งแรกไว้ราว 520,000 ดอลลาร์ ก่อนที่ Bubblemaps จะอ้างตัวเลขที่สูงกว่าหลังติดตามเส้นทางเงินหลายที่อยู่

นักพัฒนา Josh Stevens ระบุว่ากุญแจส่วนตัวอายุ 6 ปีถูกเปิดเผยผ่านการตั้งค่าภายใน จากนั้นบริษัทจึงหมุนเวียนข้อมูลยืนยันตัวตนใหม่และย้ายไปใช้บริการจัดการกุญแจ (key management services)

การละเมิดทั้งสองครั้งกระทบต่อระบบที่อยู่รอบตลาดทำนาย (prediction markets) มากกว่าตัวตลาดเอง แต่กลับเกิดขึ้นในช่วงเวลายากลำบากของบริษัท Wall Street Journal รายงานเมื่อไม่นานนี้ว่า Polymarket จ่ายเงินให้ครีเอเตอร์วัยนักศึกษาเดือนละ 2,000–3,000 ดอลลาร์เพื่อโพสต์วิดีโอเดิมพันจัดฉาก และยังมีเทรดเดอร์อีกรายที่อ้างในเดือนนี้ว่าการเปลี่ยนกฎที่เกี่ยวข้องกับตลาดขายบิตคอยน์ในหมวด Strategy ทำให้ตนเองขาดทุน 500,000 ดอลลาร์

อ่านต่อ: แฮ็กเกอร์ BlueNoroff ของเกาหลีเหนือใช้วิดีโอคอล Zoom ปลอมจาก AI เจาะผู้บริหารคริปโต 100 ราย

ข้อจำกัดความรับผิดชอบและคำเตือนความเสี่ยง: ข้อมูลที่ให้ไว้ในบทความนี้มีไว้เพื่อการศึกษาและการให้ข้อมูลเท่านั้น และอิงตามความเห็นของผู้เขียน ไม่ถือเป็นคำแนะนำทางการเงิน การลงทุน กฎหมาย หรือภาษี สินทรัพย์คริปโตมีความผันผวนสูงและมีความเสี่ยงสูง รวมถึงความเสี่ยงในการสูญเสียเงินลงทุนทั้งหมดหรือส่วนใหญ่ การซื้อขายหรือการถือครองสินทรัพย์คริปโตอาจไม่เหมาะสมสำหรับนักลงทุนทุกคน ความเห็นที่แสดงในบทความนี้เป็นของผู้เขียนเท่านั้น และไม่ได้แทนนโยบายหรือตำแหน่งอย่างเป็นทางการของ Yellow ผู้ก่อตั้ง หรือผู้บริหาร ควรทำการวิจัยอย่างละเอียดด้วยตนเอง (D.Y.O.R.) และปรึกษาผู้เชี่ยวชาญทางการเงินที่ได้รับใบอนุญาตก่อนตัดสินใจลงทุนใดๆ เสมอ
ข่าวล่าสุด
แสดงข่าวทั้งหมด
ข่าวที่เกี่ยวข้อง
บทความวิจัยที่เกี่ยวข้อง
บทความการเรียนรู้ที่เกี่ยวข้อง
Polymarket สูญเงิน 3 ล้านดอลลาร์จากการแฮ็กหน้าเว็บ แล้วสัญญาชดใช้คืนเต็มจำนวน | Yellow