Polymarket заявила, що повністю відшкодує кошти користувачам після того, як скомпрометований скрипт підрядника вивів близько $3 млн з менш ніж 15 акаунтів.
Ключові моменти:
- Polymarket повідомила, що компрометація стороннього підрядника призвела до ін’єкції шкідливого коду у її фронтенд.
- Дослідники безпеки відстежили близько $3 млн збитків у менш ніж 15 постраждалих акаунтах.
- Порушення сталося після окремого інциденту з адмін-гаманцем, який не зачепив коштів користувачів.
Злам Polymarket
Polymarket підтвердила у п’ятницю, що зловмисники використали скомпрометованого стороннього підрядника, аби розмістити шкідливий код у її фронтенді, піддавши частину користувачів атакі на «злив» гаманців.
Про злам уперше повідомив ончейн-дослідник безпеки Specter, який заявив, що внаслідок, імовірно, фішингової кампанії були виведені кошти з більш ніж 11 гаманців, що тримали PUSD (PUSD), стейблкоїн Polymarket.
Specter оцінив збитки у $2,94 млн, тоді як PeckShield згодом підтвердила подібну цифру та зазначила, що зловмисник перекинув кошти з Polygon (POL) до Ethereum (ETH), а потім конвертував їх у 1 893 ETH.
Платформа визнала злам через акаунт Polymarket Traders у X, заявивши, що уразливу залежність було видалено, а з постраждалими користувачами зв’яжуться безпосередньо.
«Сьогодні вранці ми виявили, що сторонній підрядник був скомпрометований і для деяких користувачів у наш фронтенд було ін’єктовано шкідливий скрипт. Ми локалізували проблему та видалили уразливу залежність», — йдеться в заяві. «Ми зв’язуємося з постраждалими користувачами та повністю компенсуємо їх збитки».
Також читайте: Співзасновник Anthropic заявив, що перший справжній шок на ринку праці від ШІ вже б’є по випускниках
Наслідки для безпеки
Вільям Легейт (William LeGate), який тісно співпрацює з платформою, повторив, що проблему усунуто, і зазначив, що постраждалі користувачі отримають повну компенсацію.
GoPlus Security охарактеризувала інцидент як атаку на ланцюг постачання, заявивши, що було вражено близько 15 акаунтів, а збитки склали $3 млн.
Bubblemaps дійшла загалом такого ж висновку й похвалила реакцію Polymarket після того, як кошти були виведені, а експлойт локалізовано.
Останній злам посилює тиск, оскільки він стався після іншого інциденту минулого місяця, коли адмін-гаманець, що використовувався для поповнення бонусів співробітників, втратив близько $700 000, ймовірно через компрометацію приватного ключа.
Криптодетектив ZachXBT спочатку оцінив попередні збитки приблизно у $520 000, тоді як Bubblemaps пізніше навела вищу цифру після відстеження коштів на кількох адресах.
Розробник Джош Стівенс (Josh Stevens) заявив, що 6‑річний приватний ключ було розкрито через внутрішню конфігурацію, після чого компанія замінила облікові дані та перейшла на сервіси керування ключами.
Обидва злами торкнулися систем навколо ринків прогнозів, а не самих ринків, але вони збіглися зі складним періодом для компанії. Wall Street Journal нещодавно повідомив, що Polymarket платила авторам студентського віку від $2 000 до $3 000 на місяць за постановочні відео про ставки, а інший трейдер цього місяця заявив, що зміни правил, пов’язані з ринком продажу біткоїна Strategy, обійшлися йому в $500 000.





