ผู้ใช้ Polymarket สูญเงิน 3.1 ล้านดอลลาร์จากการโจมตีฝั่งหน้าบ้าน ขณะการสอบสวนของ CFTC ยังดำเนินต่อ

แพลตฟอร์มตลาดทำนายผล Polymarket สูญเสียเงิน 3.1 ล้านดอลลาร์ หลังจากผู้โจมตี เจาะผู้ให้บริการ frontend บุคคลที่สาม และดูดเงินออกจากกระเป๋าผู้ใช้ 11 ใบ

สัญญาอัจฉริยะของแพลตฟอร์มเองซึ่งผ่านการตรวจสอบแล้ว ยังคงไม่ถูกแตะต้องตลอดเหตุการณ์นี้

ตามรายงาน โทเคน PUSD ที่ถูกขโมยถูกย้ายจาก Polygon (POL) ไปยัง Ethereum (ETH) ผ่านสะพานข้ามเชน โดย Polymarket ยังไม่เปิดเผยชื่อผู้ให้บริการที่ถูกเจาะ

กลไกการโจมตีทำงานอย่างไร

การโจมตีผู้ให้บริการ frontend จะมุ่งเป้าที่ส่วนติดต่อเว็บ ซึ่งเชื่อมผู้ใช้เข้ากับสัญญาอัจฉริยะของแพลตฟอร์ม สัญญาอัจฉริยะเป็นตัวถือและควบคุมเงินทุน แต่ผู้ใช้โต้ตอบผ่านชั้นบนเบราว์เซอร์ที่สร้างและดูแลโดยผู้ให้บริการซอฟต์แวร์บุคคลที่สาม

ในกรณีนี้ ผู้โจมตีดูเหมือนจะแทรกโค้ดอันตรายเข้าไปในชั้นส่วนติดต่อดังกล่าว ผู้ใช้ที่ได้รับผลกระทบซึ่งใช้งานหน้า frontend ของ Polymarket ในช่วงเวลาที่ถูกโจมตี มีการอนุมัติกระเป๋าเงินถูกเปลี่ยนเส้นทาง กระเป๋าเงิน 11 ใบสูญเสียเงินก่อนที่จะตรวจพบการเจาะระบบ

ข้อเท็จจริงที่ว่าสัญญาอัจฉริยะผ่านการตรวจสอบแล้ว ให้การป้องกันได้จำกัดเมื่อเวกเตอร์การโจมตีอยู่ก่อนถึงชั้นสัญญา

แรงกดดันด้านกำกับดูแลทวีความรุนแรงหลังเหตุด้านความปลอดภัย

Polymarket ดำเนินงานภายใต้การจับตามองด้านกฎระเบียบอย่างใกล้ชิด นับตั้งแต่คณะกรรมการกำกับการซื้อขายสินค้าโภคภัณฑ์ล่วงหน้า (CFTC) เริ่มการสอบสวนการเข้าถึงแพลตฟอร์มของผู้ใช้ในสหรัฐฯ การสอบสวนของ CFTC ซึ่งดำเนินต่อเนื่องมาจนถึงปี 2026 มุ่งเน้นไปที่ว่า ตลาดทำนายของ Polymarket ถือเป็นสัญญาสินค้าโภคภัณฑ์ที่ไม่ได้จดทะเบียนซึ่งเปิดให้ผู้ใช้งานชาวอเมริกันหรือไม่

แพลตฟอร์มนี้ได้รับความสนใจจากกระแสหลักในช่วงการเลือกตั้งสหรัฐฯ ปี 2024 เมื่อบรรดาตลาดของแพลตฟอร์มถูกสื่อหยิบไปอ้างอิงอย่างกว้างขวางในเรื่องโอกาสชนะของผู้สมัครชิงตำแหน่งประธานาธิบดี การมองเห็นในวงกว้างนั้นนำมาซึ่งทั้งการเติบโตของผู้ใช้และการเพ่งเล็งจากหน่วยงานกำกับดูแล การผสมผสานระหว่างการสอบสวนเชิงรุกของ CFTC กับเหตุด้านความปลอดภัยที่มีชื่อเสียงสูง สร้างแรงกดดันทางภาพลักษณ์อย่างทวีคูณต่อผู้ดำเนินงานแพลตฟอร์ม

ความปลอดภัยของตลาดทำนายเป็นข้อกังวลที่เกิดซ้ำในภาคส่วนนี้ การโจมตีฝั่ง frontend นั้นยากต่อการป้องกันเป็นพิเศษ เพราะอาศัยการเจาะผู้ให้บริการบุคคลที่สาม แทนที่จะเป็นโปรโตคอลหลัก หลายแพลตฟอร์ม DeFi เคยประสบกับการเจาะแบบห่วงโซ่อุปทานลักษณะเดียวกันในช่วงสองปีที่ผ่านมา

อ่านเพิ่มเติม: Micron กลายเป็นหุ้น AI ตัวโปรดตัวใหม่ของ Wall Street หลังพุ่งขึ้น 236%

อะไรคือสิ่งที่จะเกิดขึ้นต่อไป

Polymarket ยังไม่ยืนยันว่าผู้ใช้ที่ได้รับผลกระทบจะได้รับการชดเชยหรือไม่ แพลตฟอร์มยังไม่ได้เปิดเผยตัวตนของผู้ให้บริการที่ถูกเจาะ ซึ่งจำกัดความเป็นไปได้ของการทบทวนห่วงโซ่การโจมตีโดยบุคคลที่สาม

การสอบสวนของ CFTC เพิ่มความซับซ้อนเข้าไปอีกชั้น แถลงการณ์สาธารณะใด ๆ เกี่ยวกับการแฮ็ก อาจทับซ้อนกับกระบวนการกำกับดูแลที่กำลังดำเนินอยู่ การเคลื่อนย้ายเงินที่ถูกขโมยไปยัง Ethereum ผ่านสะพานเชน ทำให้ในหลักการแล้วสามารถติดตามเส้นทางได้ แม้ว่าการกู้คืนเงินจากเหตุโจมตีฝั่งผู้ให้บริการ frontend จะเกิดขึ้นได้ยาก หากไม่มีการเข้ามาเกี่ยวข้องของหน่วยงานบังคับใช้กฎหมาย

อ่านต่อ: HIVE เพิ่งกู้เงิน 115 ล้านดอลลาร์แบบดอกเบี้ยศูนย์เพื่อเดิมพันสวนกระแสการขุดบิตคอยน์