Compra criptomonedas
Pagar con
USD
USD
Compra y venta
Hot
Acepta Visa, Mastercard, SEPA y más
P2P
0 Fees
Trading flexible y sin tarifas
Gate Card
Paga con tus cripto en todo el mundo
Mercados
Operar
Básico
Avanzado
Futuros
Contrato
Accede a cientos de contratos perpetuos
CFD
Oro
Plataforma global de activos tradicionales
Opciones
Hot
Opera con opciones estándar al estilo europeo
Cuenta unificada
Maximiza la eficacia de tu capital
Trading de prueba
Introducción al trading de futuros
Prepárate para operar con futuros
Eventos de futuros
Únete a eventos para ganar recompensas
Trading de prueba
Usa fondos virtuales para probar el trading sin asumir riesgos
Stocks
CFD
Derivados de CFD de acciones estadounidenses
Acciones EE. UU.
Accede a acciones y ETF estadounidenses reales
Acciones HK
Opera con acciones de calidad cotizadas en Hong Kong
Acciones surcoreanas
SK Hynix
Opera con acciones surcoreanas reales e invierte en activos populares
Futuros de acciones
Alto apalancamiento, trading 24/7
Acciones tokenizadas
Respaldado por acciones reales
IPO Access
Accede al acceso completo a las OPV de acciones globales
GUSD
Acuña GUSD para obtener rendimientos de RWA del Tesoro
Actividades de acciones
Opera con acciones populares y desbloquea grandes airdrops
Earn
Lanzamiento
CandyDrop
tag
Acumula golosinas para ganar airdrops
Launchpool
Staking rápido, ¡gana nuevos tokens con potencial!
HODLer Airdrop
Holdea GT y consigue airdrops enormes gratis
IPO Access
Accede al acceso completo a las OPV de acciones globales
Puntos Alpha
Opera activos on-chain y recibe airdrops
Puntos de futuros
Gana puntos de futuros y reclama recompensas de airdrop
Inversión
Square
Square
Descubra el valor en criptomonedas
En vivo
moments live
Análisis del mercado de criptomonedas en tiempo real
Chat
Chatea con traders de criptomonedas
Noticias
Lo que está ocurriendo en el mundo de las criptomonedas
flower_head
Más
Promociones
AI
Otros
TradFi
2026 World Cup
Recompensas

Polymarket Vendor Breach Drains $3M in User Funds via Malicious Code

EthanBrooks
Incidentes de seguridadMercado de predicción
ETH-5,51%

Polymarket confirmó el jueves que un proveedor externo comprometido permitió a atacantes inyectar código malicioso en el front-end del mercado de predicciones, drenando aproximadamente 3 millones de dólares en fondos de usuarios. El ataque no tuvo como objetivo los contratos inteligentes de Polymarket, sino que sirvió un script malicioso a través del proveedor comprometido a los navegadores de algunos usuarios, accediendo a sus billeteras y drenando pUSD, la stablecoin respaldada por USDC de la plataforma. Los ataques a la cadena de suministro se han convertido en un vector cada vez más atractivo en cripto, ya que evitan por completo el código auditado en cadena, atacando la capa del sitio web y dependencias externas que los usuarios rara vez examinan.

Atacantes inyectaron script malicioso a través de un proveedor comprometido

El proveedor comprometido sirvió un script malicioso a los navegadores de algunos usuarios, accediendo a sus billeteras y drenando pUSD, la stablecoin respaldada por USDC de la plataforma utilizada para liquidar todas las operaciones. Luego, los atacantes puentearon los fondos robados de Polygon a Ethereum y los intercambiaron por aproximadamente 1.893 ETH, consolidando las ganancias en una sola billetera. Debido a que el código malicioso residía en el sitio web y no en la blockchain, los usuarios afectados tenían pocas formas de detectar que la interfaz en la que confiaban había sido manipulada. Polymarket se negó a nombrar al proveedor comprometido o a hacer más comentarios.

Menos de 15 cuentas afectadas, se prometió reembolso completo

Los investigadores en cadena de Bubblemaps concluyeron que el daño estuvo en gran medida contenido, con menos de 15 cuentas de usuarios afectadas. Polymarket dijo que reembolsaría a los clientes afectados en su totalidad y confirmó que el problema del front-end había sido contenido y la dependencia afectada eliminada. El número limitado de cuentas sugiere que el script malicioso solo alcanzó a un subconjunto de usuarios antes de que la empresa lo detectara y lo eliminara. La compañía declaró en una publicación que descubrió al proveedor externo comprometido esta mañana y que había contenido la violación y eliminado la dependencia afectada.

Segundo incidente de seguridad en Polymarket en dos meses

La violación fue la segunda de Polymarket en dos meses. En mayo, una explotación de billetera que involucró credenciales de empleados comprometidas provocó pérdidas de aproximadamente 700 mil dólares, atribuidas a un compromiso de clave privada en lugar de una falla del sitio web. En conjunto, los dos episodios apuntan a riesgos operativos y de terceros, más que a debilidades en el protocolo subyacente. Los ataques al front-end y a la cadena de suministro evitan por completo los contratos inteligentes auditados, atacando la capa del sitio web y las dependencias externas que los usuarios rara vez examinan, un vector que se ha convertido en un objetivo cada vez más atractivo a medida que el código en cadena se vuelve más difícil de vulnerar.

Preguntas frecuentes

¿Qué causó la violación de Polymarket que drenó 3 millones de dólares en fondos de usuarios?

Un proveedor externo comprometido permitió a los atacantes inyectar código malicioso en el front-end de Polymarket. El script malicioso accedió a los navegadores de algunos usuarios, drenó pUSD de sus billeteras y convirtió los fondos robados en aproximadamente 1.893 ETH. El ataque apuntó a la capa del sitio web, no a los contratos inteligentes de Polymarket.

¿Cuántos usuarios de Polymarket se vieron afectados por la violación del proveedor?

Los investigadores en cadena de Bubblemaps encontraron que menos de 15 cuentas se vieron afectadas por el script malicioso. Polymarket se comprometió a reembolsar a los clientes afectados en su totalidad y confirmó que el problema del front-end había sido contenido y la dependencia afectada eliminada.

¿Tuvo Polymarket otros incidentes de seguridad recientemente?

En mayo, Polymarket sufrió una explotación de billetera separada que involucró credenciales de empleados comprometidas, lo que provocó pérdidas de aproximadamente 700 mil dólares. Ese incidente se atribuyó a un compromiso de clave privada en lugar de una falla del sitio web, lo que convierte la violación del proveedor en el segundo incidente de seguridad de Polymarket en dos meses.

Ver fuente
Aviso legal: La información en esta página puede provenir de fuentes de terceros y es solo para referencia. No representa las opiniones ni puntos de vista de Gate y no constituye asesoramiento financiero, de inversión ni legal. El comercio de activos virtuales implica un alto riesgo. No te bases únicamente en la información presentada en esta página para tomar decisiones. Para más detalles, consulta el Aviso legal.

Noticias relacionadas

hace5h
Brecha de proveedor externo de Polymarket drena $3M en fondos de usuarios
hace8h
Polymarket pierde 3 millones de dólares por una brecha de seguridad de un proveedor externo, afectando a 15 cuentas de usuarios.
hace13h
Polymarket reembolsará a los usuarios después de que un hackeo de un proveedor externo provocara el robo de $3M
Artículos relacionados

Polymarket reembolsa a los usuarios después del hackeo de $3M proveedor externo

Ethan Brookshace13h

Europol congela $47M en criptomonedas durante operación global contra infostealers

Ethan Brookshace22h

Meta desarrolla una plataforma de mercado de predicciones mientras Maelstrom respalda el token CARDS

Ethan Brooks06-24 12:38

Polymarket enfrenta una reacción negativa por presuntos videos falsos de apuestas ganadoras

CryptoMeter io06-22 05:46
Comentar
0/400
Sin comentarios