Polymarket 表示,在一個遭入侵的供應商腳本自平台盜走約 300 萬美元、影響不到 15 個帳戶後,將會對用戶進行全額賠償。
重點摘要:
- Polymarket 指出,第三方供應商遭到入侵,將惡意程式碼注入其前端介面。
- 安全研究人員追蹤到,少於 15 個帳戶合計損失約 300 萬美元。
- 這起事件發生在另一件未波及用戶資金的管理錢包事故之後。
Polymarket 遭駭事件
Polymarket 在週五證實,攻擊者利用一個遭入侵的第三方供應商,在其前端植入惡意程式碼,使部分用戶暴露於「錢包被掏空」攻擊風險之中。
這起漏洞最先由鏈上安全研究員 Specter 提出警示,他表示,一場疑似釣魚攻擊行動已經掏空超過 11 個持有 PUSD (PUSD)(Polymarket 穩定幣)錢包中的資金。
Specter 估計損失約為 294 萬美元,而 PeckShield 隨後證實了接近的數字,並指出攻擊者將資金從 Polygon (POL) 橋接至 Ethereum (ETH),再兌換為 1,893 枚 ETH。
該平台透過其 X 帳號 Polymarket Traders 承認這起漏洞,表示已經移除受影響的相依性,並會主動聯繫受害用戶。
「今天早上我們發現一個第三方供應商遭入侵,向部分用戶的前端注入惡意腳本。我們已經控制事態並移除受影響的相依性。」平台寫道。「我們正聯繫受影響用戶,並將對他們進行全額退款。」
延伸閱讀: Anthropic 共同創辦人表示,AI 帶來的首波真正就業衝擊正打擊應屆畢業生
安全後續影響
與平台密切合作的 William LeGate 再次強調問題已經解決,並表示受影響用戶將獲得全額賠償。
GoPlus Security 將這起事件形容為供應鏈攻擊,指出約有 15 個帳戶受到影響,總損失達 300 萬美元。
Bubblemaps 得出大致相同的結論,並在資金被掏空、漏洞被控制之後,稱讚 Polymarket 的應對作為。
最新的這起入侵事件壓力更大,因為它發生在上個月的另一宗事故之後——當時一個用於員工獎勵儲值的管理錢包損失約 70 萬美元,疑似因私鑰外洩所致。
加密偵探 ZachXBT 最初估計先前的損失約為 52 萬美元,之後 Bubblemaps 在追蹤多個地址的資金流向後,給出了更高的估計數字。
開發者 Josh Stevens 表示,一把已使用 6 年的私鑰,因內部設定而遭到暴露;事發後,公司已替換憑證並改用金鑰管理服務。
這兩起事件影響的是預測市場周邊的系統,而非市場本身,但卻出現在公司處境艱難的時期。《華爾街日報》近期報導,Polymarket 曾付給大學生創作者每月 2,000 至 3,000 美元,請他們發布擺拍的下注影片;此外,還有一位交易員本月聲稱,與 Strategy 比特幣出售市場相關的規則變更,讓他損失了 50 萬美元。