Polymarket 遭前端攻击损失 300 万美元, 承诺向用户全额赔付

Polymarket 遭前端攻击损失 300 万美元, 承诺向用户全额赔付

Polymarket 表示,在一起第三方供应商脚本被攻陷的事件中,约 300 万美元从不足 15 个账户被盗,平台将向用户全额赔付。

要点概览:

  • Polymarket 称第三方供应商被攻陷,恶意代码被注入其前端。
  • 安全研究人员追踪到损失约 300 万美元,涉及不到 15 个受影响账户。
  • 此次入侵发生在另一管理员钱包事件之后,后者未波及用户资金。

Polymarket 被黑事件

Polymarket 于周五证实,攻击者利用一个被攻陷的第三方供应商,将恶意代码植入其前端,使部分用户暴露在“抽干钱包”的攻击中。

链上安全研究员 Specter 最先预警该漏洞,他表示,一次明显的网络钓鱼行动已经抽干了 11 个以上钱包中的资金,这些钱包持有 Polymarket 稳定币 PUSD (PUSD)

Specter 估算损失约为 294 万美元,而 PeckShield 随后确认了类似数字,并称攻击者先将资金从 Polygon (POL) 跨链至 Ethereum (ETH),再将其兑换为 1,893 枚 ETH。

该平台通过其在 X 上的 Polymarket Traders 账户承认遭遇入侵,并表示相关依赖已被移除,受影响用户将被逐一联系。

“今天早上我们发现一家第三方供应商遭到攻陷,为部分用户向我们的前端注入了恶意脚本。我们已经控制住局面并移除了受影响的依赖。”该账号写道,“我们正在联系受影响用户,并向他们全额退款。”

延伸阅读:Anthropic 联合创始人称 AI 带来的第一波真实就业冲击正袭向毕业生

安全后续影响

与平台关系密切的 William LeGate 再次强调问题已得到解决,并称受影响用户将获得全额赔偿。

GoPlus Security 将这起事件描述为供应链攻击,称约有 15 个账户受到影响,总损失为 300 万美元。

Bubblemaps 得出了大体相同的结论,并在资金被抽走、漏洞被遏制后,对 Polymarket 的应对表示赞扬。

最新这起入侵事件加剧了外界压力,因为就在上个月,还发生了一起单独事故:一个用于员工奖励充值的管理员钱包损失了约 70 万美元,原因很可能是私钥泄露。

加密侦探 ZachXBT 最初估算那次损失约为 52 万美元,之后 Bubblemaps 在追踪多地址资金流向后给出了更高的数字。

开发者 Josh Stevens 称,一个已有 6 年历史的私钥通过内部配置暴露,此后公司轮换了凭证并迁移到密钥管理服务。

这两起事件都影响到围绕预测市场的系统,而非市场本身,但却发生在公司处境艰难的时期。《华尔街日报》最近报道称,Polymarket 向大学年龄段内容创作者每月支付 2,000 至 3,000 美元,以发布摆拍的投注视频;而本月又有一名交易者声称,与某个 Strategy 比特币抛售市场相关的规则调整让其损失了 50 万美元。

下篇阅读:朝鲜 BlueNoroff 黑客用 AI 生成的虚假 Zoom 通话渗透 100 名加密高管

免责声明和风险警告: 本文提供的信息仅用于教育和信息目的,基于作者的意见。它不构成财务、投资、法律或税务建议。 加密货币资产具有高度波动性并面临高风险,包括失去全部或大部分投资的风险。交易或持有加密资产可能不适合所有投资者。 本文表达的观点仅为作者的观点,不代表Yellow、其创始人或高管的官方政策或立场。 在做出任何投资决定之前,请务必进行自己的全面研究(D.Y.O.R.)并咨询持牌金融专业人士。
最新新闻
查看所有新闻
Polymarket 遭前端攻击损失 300 万美元, 承诺向用户全额赔付 | Yellow