Polymarket cho biết sẽ hoàn trả đầy đủ cho người dùng sau khi một script từ nhà cung cấp bị xâm phạm đã rút khoảng 3 triệu đô từ chưa tới 15 tài khoản.
Điểm chính:
- Polymarket cho biết một nhà cung cấp bên thứ ba bị xâm phạm đã chèn mã độc vào frontend của nền tảng.
- Các nhà nghiên cứu bảo mật ghi nhận khoảng 3 triệu đô bị mất từ dưới 15 tài khoản bị ảnh hưởng.
- Vụ vi phạm diễn ra sau một sự cố ví quản trị riêng biệt trước đó, vốn không ảnh hưởng tới tiền của người dùng.
Vụ hack Polymarket
Polymarket đã xác nhận vào thứ Sáu rằng kẻ tấn công đã lợi dụng một nhà cung cấp bên thứ ba bị xâm phạm để chèn mã độc vào frontend của nền tảng, khiến một số người dùng bị phơi nhiễm trước một cuộc tấn công rút cạn ví.
Vụ vi phạm lần đầu được phát hiện bởi nhà nghiên cứu bảo mật on-chain Specter, người cho biết một chiến dịch lừa đảo dường như đã rút tiền từ hơn 11 ví nắm giữ PUSD (PUSD), stablecoin của Polymarket.
Specter ước tính thiệt hại là 2,94 triệu đô, trong khi PeckShield sau đó xác nhận một con số tương tự và cho biết kẻ tấn công đã bridge tiền từ Polygon (POL) sang Ethereum (ETH), rồi chuyển đổi chúng thành 1.893 ETH.
Nền tảng này đã thừa nhận vụ vi phạm thông qua tài khoản Polymarket Traders trên X, nói rằng dependency bị ảnh hưởng đã được gỡ bỏ và những người dùng bị tác động sẽ được liên hệ trực tiếp.
“Sáng nay, chúng tôi phát hiện một nhà cung cấp bên thứ ba đã bị xâm phạm, chèn một script độc hại vào frontend của chúng tôi đối với một số người dùng. Chúng tôi đã kiểm soát và gỡ bỏ dependency bị ảnh hưởng,” họ viết. “Chúng tôi đang liên hệ với người dùng bị ảnh hưởng và hoàn tiền cho họ đầy đủ.”
Hệ lụy bảo mật
William LeGate, người làm việc chặt chẽ với nền tảng, nhắc lại rằng vấn đề đã được giải quyết và cho biết những người dùng bị ảnh hưởng sẽ nhận được bồi thường toàn bộ.
GoPlus Security mô tả sự cố là một cuộc tấn công chuỗi cung ứng, nói rằng khoảng 15 tài khoản bị ảnh hưởng và tổng thiệt hại là 3 triệu đô.
Bubblemaps đưa ra kết luận tổng thể tương tự và khen ngợi phản ứng của Polymarket sau khi tiền bị rút hết và lỗ hổng được khắc phục.
Vụ vi phạm mới nhất làm gia tăng áp lực vì nó diễn ra sau một sự cố khác hồi tháng trước, khi một ví quản trị dùng để nạp phần thưởng cho nhân viên bị mất khoảng 700.000 đô, nhiều khả năng do lộ khóa riêng tư.
Thám tử tiền mã hóa ZachXBT ban đầu ước tính khoản thất thoát trước đó khoảng 520.000 đô, trước khi Bubblemaps sau đó dẫn lại con số cao hơn sau khi theo dõi dòng tiền qua một số địa chỉ.
Nhà phát triển Josh Stevens cho biết một khóa riêng tư đã được dùng suốt 6 năm đã bị lộ thông qua cấu hình nội bộ, sau đó công ty đã xoay vòng thông tin xác thực và chuyển sang các dịch vụ quản lý khóa.
Cả hai vụ vi phạm đều tác động tới các hệ thống xung quanh thị trường dự đoán chứ không phải bản thân các thị trường, nhưng chúng xảy ra trong giai đoạn khó khăn với công ty. Wall Street Journal gần đây đưa tin rằng Polymarket đã trả cho các nhà sáng tạo ở độ tuổi đại học 2.000–3.000 đô mỗi tháng để đăng các video cược dàn dựng, và một trader khác tháng này tuyên bố rằng thay đổi quy tắc liên quan đến thị trường bán Bitcoin Strategy đã khiến họ thiệt hại 500.000 đô.