Polymarket заявив, що повністю відшкодує кошти користувачам після того, як скомпрометований скрипт підрядника вивів близько $3 млн з менш ніж 15 акаунтів.
Ключові моменти:
- Polymarket повідомив, що компрометація стороннього підрядника ввела шкідливий код у його фронтенд.
- Дослідники безпеки відстежили близько $3 млн збитків у менш ніж 15 постраждалих акаунтах.
- Порушення сталося після окремого інциденту з адміністраторським гаманцем, який не торкнувся коштів користувачів.
Злам Polymarket
Polymarket підтвердив у п’ятницю, що зловмисники використали скомпрометованого стороннього підрядника, аби розмістити шкідливий код у його фронтенді, піддавши частину користувачів атаці з виведенням коштів з гаманців.
Про порушення вперше повідомив ончейн‑дослідник безпеки Specter, який заявив, що внаслідок, ймовірно, фішингової кампанії було виведено кошти з більш ніж 11 гаманців, що тримали PUSD (PUSD), стейблкоїн Polymarket.
Specter оцінив збитки у $2,94 млн, тоді як PeckShield згодом підтвердив подібну суму й повідомив, що зловмисник перевів кошти з Polygon (POL) до Ethereum (ETH), а потім конвертував їх у 1 893 ETH.
Платформа визнала злам через акаунт Polymarket Traders в X, заявивши, що вразлива залежність була видалена, а з постраждалими користувачами зв’яжуться безпосередньо.
«Цього ранку ми виявили, що сторонній підрядник був скомпрометований, унаслідок чого на наш фронтенд для деяких користувачів було ін’єктовано шкідливий скрипт. Ми локалізували проблему й видалили уражену залежність», — написали там. «Ми зв’язуємося з постраждалими користувачами й повністю відшкодовуємо їм збитки».
Також читайте: Співзасновник Anthropic заявив, що перший справжній шок на ринку праці від ШІ відчувають випускники
Наслідки для безпеки
Вільям ЛеГейт (William LeGate), який тісно співпрацює з платформою, повторив, що проблему вирішено, і заявив, що постраждалі користувачі отримають повну компенсацію.
GoPlus Security описала інцидент як атаку на ланцюг постачання, зазначивши, що було уражено близько 15 акаунтів, а сума збитків сягнула $3 млн.
Bubblemaps дійшла тієї ж загальної оцінки та похвалила реакцію Polymarket після того, як кошти було виведено, а експлойт локалізовано.
Останній злам посилює тиск, оскільки він стався після іншого інциденту минулого місяця, коли адміністраторський гаманець, що використовувався для поповнення заохочень співробітникам, втратив близько $700 000, імовірно через компрометацію приватного ключа.
Криптодетектив ZachXBT спочатку оцінив попередню втрату приблизно у $520 000, перш ніж Bubblemaps згодом навела вищу суму після відстеження коштів через кілька адрес.
Розробник Джош Стівенс (Josh Stevens) сказав, що 6‑річний приватний ключ був розкритий через внутрішню конфігурацію, після чого компанія змінила облікові дані й перейшла на сервіси керування ключами.
Обидва порушення торкнулися систем навколо ринків прогнозів, а не самих ринків, але вони сталися у складний період для компанії. Wall Street Journal нещодавно повідомив, що Polymarket платив авторам студентського віку від $2 000 до $3 000 на місяць за публікацію постановочних відео зі ставками, а інший трейдер цього місяця заявив, що зміни правил, пов’язані з ринком продажу біткоїна Strategy, коштували йому $500 000.
Читайте далі: Хакери BlueNoroff з Північної Кореї використовували згенеровані ШІ фальшиві дзвінки в Zoom, щоб зламати 100 криптокерівників