Polymarket, ele geçirilmiş bir tedarikçi betiği nedeniyle 15’ten az hesaptan yaklaşık 3 milyon $ çalındıktan sonra, kullanıcılara tamamen geri ödeme yapacağını söyledi.
Öne Çıkan Noktalar:
- Polymarket, üçüncü taraf bir tedarikçi ihlalinin, kötü amaçlı kodu frontend’ine enjekte ettiğini söyledi.
- Güvenlik araştırmacıları, 15’ten az etkilenen hesapta yaklaşık 3 milyon $ kayıp tespit etti.
- İhlal, kullanıcı fonlarını etkilemeyen ayrı bir admin cüzdan olayı sonrasına denk geldi.
Polymarket Hack’i
Polymarket, saldırganların bazı kullanıcıları cüzdan boşaltma saldırısına maruz bırakarak, ele geçirilmiş üçüncü taraf bir tedarikçiyi kullanıp frontend’ine kötü amaçlı kod yerleştirdiğini Cuma günü doğruladı.
İhlal, zincir üstü güvenlik araştırmacısı Specter tarafından ilk kez işaretlendi; Specter, görünürdeki bir oltalama kampanyasının, Polymarket’in stablecoin’i PUSD (PUSD) bulunduran 11’den fazla cüzdandaki fonları boşalttığını söyledi.
Specter kayıpları 2,94 milyon $ olarak tahmin ederken, PeckShield daha sonra benzer bir rakamı doğruladı ve saldırganın fonları Polygon (POL) ağından Ethereum’a (ETH) köprülediğini, ardından 1.893 ETH’ye çevirdiğini belirtti.
Platform, X’teki Polymarket Traders hesabı üzerinden ihlali kabul ederek etkilenen bağımlılığın kaldırıldığını ve etkilenen kullanıcılarla doğrudan iletişime geçileceğini açıkladı.
“Bu sabah, üçüncü taraf bir tedarikçinin ele geçirildiğini ve bazı kullanıcılar için frontend’imize kötü amaçlı bir betik enjekte ettiğini keşfettik. Bunu sınırladık ve etkilenen bağımlılığı kaldırdık,” diye yazdı. “Etkilenen kullanıcılarla iletişime geçiyoruz ve kendilerini tamamen geri ödüyoruz.”
Ayrıca Oku: Anthropic’in Kurucu Ortağı, Yapay Zekânın İlk Gerçek İş Şokunun Mezunları Vurduğunu Söylüyor
Güvenlik Sonuçları
Platformla yakından çalışan William LeGate, sorunun çözüldüğünü yineledi ve etkilenen kullanıcıların tam tazminat alacağını söyledi.
GoPlus Security, olayı bir tedarik zinciri saldırısı olarak tanımlayarak yaklaşık 15 hesabın etkilendiğini ve toplam kaybın 3 milyon $ olduğunu belirtti.
Bubblemaps de benzer bir sonuca vararak, fonlar boşaltılıp açık kapatıldıktan sonra Polymarket’in tepkisini övdü.
Son ihlal, geçen ay yaşanan ve çalışan ödüllerini yüklemek için kullanılan bir admin cüzdanının, muhtemelen özel anahtar ihlaliyle, yaklaşık 700.000 $ kaybettiği olayın ardından geldiği için baskıyı artırıyor.
Kripto dedektifi ZachXBT, ilk kaybı yaklaşık 520.000 $ olarak tahmin etmişti; Bubblemaps ise daha sonra fonları çeşitli adresler arasında takip ettikten sonra daha yüksek rakamı aktardı.
Geliştirici Josh Stevens, altı yıllık bir özel anahtarın dahili konfigürasyon yoluyla açığa çıktığını, bunun ardından şirketin kimlik bilgilerini yenilediğini ve anahtar yönetim hizmetlerine geçtiğini söyledi.
Her iki ihlal de doğrudan tahmin piyasalarının kendisini değil, etrafındaki sistemleri etkiledi; ancak şirket için zor bir dönemde yaşandılar. Wall Street Journal, Polymarket’in üniversite çağındaki içerik üreticilerine, kurgulanmış bahis videoları paylaşmaları için ayda 2.000–3.000 $ ödediğini yakın zamanda bildirdi; ayrıca başka bir trader, bu ay Strategy Bitcoin satış piyasasına bağlı kural değişikliklerinin kendisine 500.000 $’a mal olduğunu iddia etti.
Sıradaki Haber: Kuzey Kore’nin BlueNoroff Hacker’ları, 100 Kripto Yöneticisine Sızmak İçin Yapay Zekâ Üretimi Sahte Zoom Görüşmeleri Kullandı