Polymarket 表示,在一個遭入侵的供應商腳本從少於 15 個帳戶中盜走約 300 萬美元後,將會向受影響用戶作出全額賠償。
重點整理:
- Polymarket 指出,第三方供應商遭入侵,惡意程式碼被注入其前端。
- 安全研究人員追蹤到少於 15 個受影響帳戶,共損失約 300 萬美元。
- 這次入侵緊接早前另一宗不影響用戶資金的管理錢包事件之後發生。
Polymarket 遭駭事件
Polymarket 於星期五確認,攻擊者利用一間遭入侵的第三方供應商,將惡意程式碼植入其前端,令部分用戶暴露於錢包被清空的攻擊風險之下。
這次入侵最先由鏈上安全研究員 Specter 發現,他指一場疑似釣魚攻擊活動,已從超過 11 個持有 PUSD (PUSD)(Polymarket 穩定幣)的錢包中盜走資金。
Specter 估計損失約為 294 萬美元,而 PeckShield 其後也確認了相近數字,並表示攻擊者將資金由 Polygon (POL) 橋接至 Ethereum (ETH),再兌換成 1,893 枚 ETH。
該平台透過其 X 帳戶 Polymarket Traders 承認發生入侵事件,稱已移除受影響的相依套件,並會直接聯絡受影響用戶。
「今早我們發現一個第三方供應商被入侵,向部分用戶的前端注入惡意腳本。我們已控制事件並移除受影響的相依套件,」帖文寫道。「我們正聯絡受影響用戶,並向他們作出全額退款。」
延伸閱讀: Anthropic 聯合創辦人指首波真正的 AI 就業衝擊正打擊畢業生
安全後續影響
與該平台密切合作的 William LeGate 重申問題已解決,並表示受影響用戶會獲得全額賠償。
GoPlus Security 將今次事件形容為供應鏈攻擊,指大約 15 個帳戶受影響,總損失達 300 萬美元。
Bubblemaps 得出大致相同的結論,並在資金被盜走、漏洞被遏止後,稱讚 Polymarket 的應對表現。
這次最新入侵增加了壓力,因為它緊接上月的另一宗事件——一個用作員工獎勵加值的管理錢包,因疑似私鑰被洩露而損失約 70 萬美元。
加密偵探 ZachXBT 起初估計早前損失約為 52 萬美元,其後 Bubblemaps 追蹤多個地址的資金流向後,引用了更高的金額。
開發人員 Josh Stevens 指出,一把已有 6 年歷史的私鑰因內部設定問題而曝光,事後公司已輪替憑證,並轉用金鑰管理服務。
兩次入侵都影響到預測市場周邊系統,而非市場本身,但卻發生在公司處於困難時期之際。《華爾街日報》最近報道指,Polymarket 每月向大學生年齡的創作者支付 2,000 至 3,000 美元,讓他們拍攝擺拍的投注影片;另外,有一名交易員本月聲稱,與一個 Strategy 比特幣拋售市場相關的規則變動,令他損失了 50 萬美元。