Polymarket втратив $3 млн через хак фронтенду та обіцяє повне відшкодування

Polymarket втратив $3 млн через хак фронтенду та обіцяє повне відшкодування

Polymarket заявила, що повністю відшкодує кошти користувачам після того, як скомпрометований скрипт підрядника вивів близько $3 млн з менш ніж 15 акаунтів.

Ключові моменти:

  • Polymarket повідомила, що компрометація стороннього підрядника призвела до ін’єкції шкідливого коду у її фронтенд.
  • Дослідники безпеки відстежили близько $3 млн збитків у менш ніж 15 постраждалих акаунтах.
  • Порушення сталося після окремого інциденту з адмін-гаманцем, який не зачепив коштів користувачів.

Злам Polymarket

Polymarket підтвердила у п’ятницю, що зловмисники використали скомпрометованого стороннього підрядника, аби розмістити шкідливий код у її фронтенді, піддавши частину користувачів атакі на «злив» гаманців.

Про злам уперше повідомив ончейн-дослідник безпеки Specter, який заявив, що внаслідок, імовірно, фішингової кампанії були виведені кошти з більш ніж 11 гаманців, що тримали PUSD (PUSD), стейблкоїн Polymarket.

Specter оцінив збитки у $2,94 млн, тоді як PeckShield згодом підтвердила подібну цифру та зазначила, що зловмисник перекинув кошти з Polygon (POL) до Ethereum (ETH), а потім конвертував їх у 1 893 ETH.

Платформа визнала злам через акаунт Polymarket Traders у X, заявивши, що уразливу залежність було видалено, а з постраждалими користувачами зв’яжуться безпосередньо.

«Сьогодні вранці ми виявили, що сторонній підрядник був скомпрометований і для деяких користувачів у наш фронтенд було ін’єктовано шкідливий скрипт. Ми локалізували проблему та видалили уразливу залежність», — йдеться в заяві. «Ми зв’язуємося з постраждалими користувачами та повністю компенсуємо їх збитки».

Також читайте: Співзасновник Anthropic заявив, що перший справжній шок на ринку праці від ШІ вже б’є по випускниках

Наслідки для безпеки

Вільям Легейт (William LeGate), який тісно співпрацює з платформою, повторив, що проблему усунуто, і зазначив, що постраждалі користувачі отримають повну компенсацію.

GoPlus Security охарактеризувала інцидент як атаку на ланцюг постачання, заявивши, що було вражено близько 15 акаунтів, а збитки склали $3 млн.

Bubblemaps дійшла загалом такого ж висновку й похвалила реакцію Polymarket після того, як кошти були виведені, а експлойт локалізовано.

Останній злам посилює тиск, оскільки він стався після іншого інциденту минулого місяця, коли адмін-гаманець, що використовувався для поповнення бонусів співробітників, втратив близько $700 000, ймовірно через компрометацію приватного ключа.

Криптодетектив ZachXBT спочатку оцінив попередні збитки приблизно у $520 000, тоді як Bubblemaps пізніше навела вищу цифру після відстеження коштів на кількох адресах.

Розробник Джош Стівенс (Josh Stevens) заявив, що 6‑річний приватний ключ було розкрито через внутрішню конфігурацію, після чого компанія замінила облікові дані та перейшла на сервіси керування ключами.

Обидва злами торкнулися систем навколо ринків прогнозів, а не самих ринків, але вони збіглися зі складним періодом для компанії. Wall Street Journal нещодавно повідомив, що Polymarket платила авторам студентського віку від $2 000 до $3 000 на місяць за постановочні відео про ставки, а інший трейдер цього місяця заявив, що зміни правил, пов’язані з ринком продажу біткоїна Strategy, обійшлися йому в $500 000.

Читайте далі: Хакери BlueNoroff із Північної Кореї використовували згенеровані ШІ фейкові дзвінки в Zoom, щоб зламати 100 крипто-топменеджерів

Відмова від відповідальності та попередження про ризики: Інформація, надана в цій статті, призначена лише для освітніх та інформаційних цілей і базується на думці автора. Вона не є фінансовою, інвестиційною, правовою чи податковою консультацією. Криптоактиви є надзвичайно волатильними та піддаються високому ризику, включаючи ризик втрати всіх або значної частини ваших інвестицій. Торгівля або утримання криптоактивів може не підходити для всіх інвесторів. Думки, висловлені в цій статті, належать виключно автору(ам) і не представляють офіційну політику чи позицію Yellow, її засновників або керівників. Завжди проводьте власне ретельне дослідження (D.Y.O.R.) та консультуйтесь з ліцензованим фінансовим фахівцем перед прийняттям будь-яких інвестиційних рішень.
Останні новини
Показати всі новини
Схожі новини
Схожі дослідницькі статті
Схожі навчальні матеріали
Polymarket втратив $3 млн через хак фронтенду та обіцяє повне відшкодування | Yellow