Polymarket mất 3 triệu đô vì bị hack frontend, rồi hứa hoàn trả toàn bộ

Polymarket mất 3 triệu đô vì bị hack frontend, rồi hứa hoàn trả toàn bộ

Polymarket cho biết sẽ hoàn trả đầy đủ cho người dùng sau khi một script từ nhà cung cấp bị xâm nhập đã rút khoảng 3 triệu đô từ dưới 15 tài khoản.

Điểm chính:

  • Polymarket cho biết nhà cung cấp bên thứ ba bị xâm nhập đã chèn mã độc vào giao diện frontend.
  • Các nhà nghiên cứu bảo mật ghi nhận khoảng 3 triệu đô thiệt hại trên dưới 15 tài khoản bị ảnh hưởng.
  • Sự cố này diễn ra sau một vụ việc riêng liên quan ví admin nhưng không ảnh hưởng tiền người dùng.

Vụ hack Polymarket

Polymarket đã xác nhận vào thứ Sáu rằng kẻ tấn công đã dùng một nhà cung cấp bên thứ ba bị xâm nhập để chèn mã độc vào frontend, khiến một số người dùng bị lộ trước một cuộc tấn công rút sạch ví.

Sự cố lần đầu được cảnh báo bởi nhà nghiên cứu bảo mật on-chain Specter, người cho biết một chiến dịch phishing có vẻ đã rút tiền khỏi hơn 11 ví nắm giữ PUSD (PUSD), stablecoin của Polymarket.

Specter ước tính thiệt hại là 2,94 triệu đô, trong khi PeckShield sau đó xác nhận con số tương tự và cho biết kẻ tấn công đã bridge tiền từ Polygon (POL) sang Ethereum (ETH), rồi đổi chúng thành 1.893 ETH.

Nền tảng này thừa nhận vụ vi phạm thông qua tài khoản Polymarket Traders trên X, nói rằng phụ thuộc bị ảnh hưởng đã được gỡ bỏ và những người dùng bị ảnh hưởng sẽ được liên hệ trực tiếp.

“Sáng nay chúng tôi phát hiện một nhà cung cấp bên thứ 3 đã bị xâm nhập, chèn một script độc hại vào frontend cho một số người dùng. Chúng tôi đã khống chế và gỡ bỏ phụ thuộc bị ảnh hưởng,” họ viết. “Chúng tôi đang liên hệ người dùng bị ảnh hưởng và hoàn tiền cho họ đầy đủ.”

Cũng đọc: Đồng sáng lập Anthropic nói cú sốc việc làm thực sự đầu tiên do AI gây ra đang giáng vào sinh viên mới tốt nghiệp

Hệ lụy bảo mật

William LeGate, người làm việc sát với nền tảng, nhắc lại rằng vấn đề đã được giải quyết và cho biết người dùng bị ảnh hưởng sẽ nhận bồi thường toàn bộ.

GoPlus Security mô tả sự cố là một cuộc tấn công chuỗi cung ứng, cho biết khoảng 15 tài khoản bị ảnh hưởng và tổng thiệt hại là 3 triệu đô.

Bubblemaps đi đến kết luận chung tương tự và khen ngợi phản ứng của Polymarket sau khi tiền bị rút và lỗ hổng được khống chế.

Vụ vi phạm mới nhất gây thêm áp lực vì nó diễn ra sau một sự cố khác tháng trước, khi một ví admin dùng để nạp thưởng cho nhân viên mất khoảng 700.000 đô, nhiều khả năng do khóa riêng bị lộ.

Thám tử crypto ZachXBT ban đầu ước tính khoản lỗ trước đó khoảng 520.000 đô, trước khi Bubblemaps sau đó trích dẫn con số cao hơn sau khi theo dõi dòng tiền qua một số địa chỉ.

Lập trình viên Josh Stevens cho biết một khóa riêng đã 6 năm tuổi bị lộ thông qua cấu hình nội bộ, sau đó công ty đã xoay vòng thông tin xác thực và chuyển sang dùng các dịch vụ quản lý khóa.

Cả hai vụ vi phạm đều ảnh hưởng tới các hệ thống xung quanh thị trường dự đoán chứ không phải bản thân các thị trường, nhưng chúng diễn ra trong giai đoạn khó khăn với công ty. Wall Street Journal gần đây đưa tin Polymarket trả cho các creator độ tuổi đại học 2.000–3.000 đô mỗi tháng để đăng các video cược dàn dựng, và một trader khác tháng này tuyên bố rằng các thay đổi luật gắn với một thị trường bán Bitcoin theo Strategy đã khiến họ mất 500.000 đô.

Đọc tiếp: Hacker BlueNoroff của Triều Tiên dùng cuộc gọi Zoom giả tạo bằng AI để xâm nhập 100 lãnh đạo crypto

Tuyên bố miễn trừ trách nhiệm và cảnh báo rủi ro: Thông tin được cung cấp trong bài viết này chỉ dành cho mục đích giáo dục và thông tin, dựa trên ý kiến của tác giả. Nó không cấu thành lời khuyên tài chính, đầu tư, pháp lý hoặc thuế. Tài sản tiền mã hóa có tính biến động cao và chịu rủi ro cao, bao gồm rủi ro mất tất cả hoặc một phần lớn khoản đầu tư của bạn. Giao dịch hoặc nắm giữ tài sản crypto có thể không phù hợp với tất cả nhà đầu tư. Những quan điểm được bày tỏ trong bài viết này hoàn toàn là của (các) tác giả và không đại diện cho chính sách chính thức hoặc lập trường của Yellow, những người sáng lập hoặc giám đốc điều hành. Luôn tiến hành nghiên cứu kỹ lưỡng của riêng bạn (D.Y.O.R.) và tham khảo ý kiến chuyên gia tài chính được cấp phép trước khi đưa ra bất kỳ quyết định đầu tư nào.
Tin tức mới nhất
Xem tất cả tin tức
Tin Tức Liên Quan