Polymarket 表示,在一家供应商的脚本被攻破、导致不到 15 个账户被盗约 300 万美元后,将向受影响用户全额赔付。
要点概览:
- Polymarket 称第三方供应商遭入侵,向其前端注入了恶意代码。
- 安全研究人员追踪到损失约 300 万美元,分布在不到 15 个受影响账户中。
- 此次漏洞发生在此前一次未波及用户资金的管理员钱包事件之后。
Polymarket 遭黑
Polymarket 在周五证实,攻击者利用被攻破的第三方供应商,将恶意代码植入其前端,对部分用户发动“清钱包”式攻击。
链上安全研究员 Specter 首先发现了这起事件,他表示,一场疑似网络钓鱼行动已经从 11 个以上持有 PUSD 的钱包中转出了资金,PUSD 是 Polymarket 的稳定币 (PUSD)。
Specter 估算损失约为 294 万美元,而 PeckShield 随后确认了相近数字,并表示攻击者先将资金从 Polygon (POL) 跨链到 Ethereum (ETH),再将其兑换为 1,893 枚 ETH。
该平台通过其 X 账号 Polymarket Traders 承认发生泄露,称已移除受影响的依赖组件,并会直接联系受影响用户。
“今天早上我们发现一家第三方供应商被攻破,向部分用户的前端注入了恶意脚本。我们已经控制住事态并移除了相关依赖。”平台写道,“我们正在联系受影响用户,并向其全额退款。”
延伸阅读:Anthropic 联合创始人称 AI 引发的首轮真实就业冲击正在冲击毕业生
安全后续影响
与平台关系密切的 William LeGate 重申问题已经解决,并表示受影响用户将获得全额赔偿。
GoPlus Security 将该事件描述为一次供应链攻击,称大约有 15 个账户受影响,总损失为 300 万美元。
Bubblemaps 得出了大致相同的结论,并在资金被转走、漏洞被遏制后,对 Polymarket 的应对表示肯定。
最新的这起攻击让 Polymarket 承受更大压力,因为就在上个月,平台还发生了另一事件:一个用于给员工奖励充值的管理员钱包损失了约 70 万美元,原因很可能是私钥被泄露。
加密“侦探” ZachXBT 起初估算那次损失约为 52 万美元,随后 Bubblemaps 在追踪多笔地址上的资金流向后给出了更高的数字。
开发者 Josh Stevens 表示,一个使用了 6 年的私钥因内部配置问题而暴露。事发后,公司已轮换凭证并迁移到密钥管理服务。
这两起事件影响的都是预测市场相关系统,而非具体市场本身,但却发生在公司处境本就不佳的时期。《华尔街日报》近期报道,Polymarket 以每月 2,000 至 3,000 美元的报酬,雇佣大学年龄段内容创作者发布摆拍的投注视频;另有一名交易者本月声称,与某个 Strategy 比特币抛售市场相关的规则调整让其损失了 50 万美元。