Polymarket 表示,在一個遭入侵的供應商腳本自少於 15 個帳戶盜走約 300 萬美元後,將會對用戶進行全額退款。
重點摘要:
- Polymarket 表示,第三方供應商遭入侵,向其前端注入惡意程式碼。
- 安全研究人員追蹤到損失約 300 萬美元,影響帳戶少於 15 個。
- 這次入侵發生在另一宗並未影響用戶資金的管理員錢包事件之後。
Polymarket 遭駭事件
Polymarket 於週五證實,攻擊者利用遭入侵的第三方供應商,在其前端植入惡意程式碼,令部分用戶暴露於「抽乾錢包」攻擊之下。
鏈上安全研究員 Specter 最先發出警示,指稱一場明顯的釣魚攻擊行動已從超過 11 個持有 PUSD (PUSD) —— Polymarket 穩定幣 —— 的錢包中抽走資金。
Specter 估計損失約為 294 萬美元,而 PeckShield 隨後證實了相近數字,並稱攻擊者先將資金從 Polygon (POL) 橋接至 Ethereum (ETH),再換成 1,893 顆 ETH。
該平台透過其在 X 上的 Polymarket Traders 帳號承認發生入侵事件,表示已移除受影響的相依套件,並會直接聯繫受波及用戶。
「今天早上我們發現一個第三方供應商遭到入侵,向我們部分用戶的前端注入惡意腳本。我們已將其控制並移除受影響的相依性,」平台寫道,「我們正在聯絡受影響用戶,並對他們進行全額退款。」
延伸閱讀: Anthropic 共同創辦人稱 AI 的第一波真實就業衝擊正打擊畢業生
安全後續影響
與平台密切合作的 William LeGate 重申問題已獲解決,並表示受影響用戶將得到全額賠償。
GoPlus Security 將此事件形容為供應鏈攻擊,並稱約有 15 個帳戶受影響,損失總額為 300 萬美元。
Bubblemaps 得出大致相同的結論,並在資金被抽走、漏洞被遏止後,稱讚 Polymarket 的應對。
最新這次入侵加重了壓力,因為它發生在上個月的另一宗事件之後:一個用於員工獎勵加值的管理員錢包損失了約 70 萬美元,疑似是私鑰遭到洩露。
加密偵探 ZachXBT 最初估計那次損失約為 52 萬美元,之後 Bubblemaps 追蹤多個地址後引用了更高的金額。
開發者 Josh Stevens 表示,一把有 6 年歷史的私鑰因內部設定而曝光,公司其後已輪替憑證並改用金鑰管理服務。
兩次入侵都是影響預測市場周邊系統,而非市場本身,但都發生在公司正處於困難時期之際。《華爾街日報》最近報導指,Polymarket 向大學生年齡層的創作者每月支付 2,000 至 3,000 美元,拍攝擺拍的下注影片;另有一名交易員本月聲稱,與 Strategy 比特幣拋售市場相關的規則變更,讓他損失了 50 萬美元。
接下來閱讀: North Korea’s BlueNoroff Hackers Used AI-Generated Fake Zoom Calls To Breach 100 Crypto Executives