Polymarket 表示,會向用戶全額賠償,因為一段被入侵的供應商腳本從不足 15 個帳戶中掏空約 300 萬美元。
重點摘要:
- Polymarket 指出,一家第三方供應商被入侵,向其前端注入惡意程式碼。
- 安全研究人員追蹤到損失約 300 萬美元,影響帳戶少於 15 個。
- 這次入侵緊接著早前的管理錢包事故,不過當時並未波及用戶資金。
Polymarket 遭駭事件
Polymarket 於週五證實,攻擊者利用一間被入侵的第三方供應商,在其前端植入惡意程式碼,令部分用戶暴露於「錢包掏空」攻擊之下。
這次入侵最先由鏈上安全研究員 Specter 示警,他表示,一場疑似釣魚攻擊行動已從逾 11 個持有 PUSD (PUSD)(Polymarket 穩定幣)錢包中掏走資金。
Specter 估算損失約為 294 萬美元,而 PeckShield 其後也證實類似數字,並指攻擊者先把資金從 Polygon (POL) 橋接到 Ethereum (ETH),再兌換成 1,893 枚 ETH。
平台透過其在 X 的 Polymarket Traders 帳號承認這次入侵,表示已移除受影響的依賴項,並會直接聯絡受影響用戶。
「今早我們發現一個第三方供應商遭入侵,向部分用戶的前端注入惡意腳本。我們已經控制情況並移除受影響的依賴項。」帖文寫道:「我們正聯絡受影響用戶,並向他們作出全額退款。」
延伸閱讀: Anthropic 聯合創辦人稱 AI 第一波真正的就業衝擊正打擊畢業生
安全後續影響
與平台關係密切的 William LeGate 重申問題已獲解決,並表示受影響用戶將獲得全額賠償。
GoPlus Security 將事件形容為供應鏈攻擊,指大約 15 個帳戶受影響,損失總額為 300 萬美元。
Bubblemaps 得出大致相同結論,並在資金被掏空、漏洞被遏止後,讚揚 Polymarket 的應對表現。
最新這次入侵令壓力進一步升溫,因為它緊接著上月另一宗事故:一個用於員工獎勵加值的管理錢包損失約 70 萬美元,疑與私鑰遭洩露有關。
加密偵探 ZachXBT 最初估算該次損失約為 52 萬美元,其後 Bubblemaps 在追蹤多個地址的資金流向後,提出更高的數字。
開發者 Josh Stevens 表示,一把已使用 6 年的私鑰因內部配置問題遭曝光,其後公司已輪替憑證並改用金鑰管理服務。
兩次事故都影響到預測市場周邊系統,而非市場本身,但它們出現在公司處境艱難之際。《華爾街日報》最近報道稱,Polymarket 每月向大學生年齡層內容創作者支付 2,000 至 3,000 美元,拍攝「擺拍」的下注影片;另有一名交易員本月聲稱,與一個 Strategy 比特幣拋售市場相關的規則變更,令他損失 50 萬美元。