Polymarket підтверджує $3M крадіжку у користувачів через злам третьої сторони

Polymarket підтвердив, що хакери викрали приблизно 3 мільйона доларів у понад 11 користувачів через скомпрометованого стороннього постачальника у червні. Атака включала шкідливий фронтенд-код, який фішингував користувачів, змушуючи їх схвалювати шахрайські транзакції, згідно з фірмою з безпеки блокчейну Peckshield. Компанія заявила, що повністю відшкодовує всім постраждалим жертвам, наголошуючи, що її основна інфраструктура та ончейн-ринки не були безпосередньо зламані. Інцидент підкреслює зростаючі проблеми безпеки, з якими стикаються ринки прогнозів, оскільки сектор переживає стрімке зростання та посилений регуляторний контроль.

Polymarket простежує атаку до впровадження коду стороннього постачальника

Polymarket розкрив, що компрометація одного з його зовнішніх постачальників дозволила зловмисникам впровадити шкідливий код у його фронтенд для деяких користувачів. Змінений скрипт забезпечив фішингову кампанію, яка обманом змусила жертв схвалювати шахрайські транзакції, що потім спустошили кошти з їхніх підключених гаманців.

"Ми локалізували інцидент", — заявив Polymarket, додавши, що видалив уражену залежність. Компанія наголосила, що її власна основна інфраструктура та ончейн-ринки не були зламані, а слабкою ланкою виявився сторонній постачальник, чий код подавався через вебсайт Polymarket.

Фірма з безпеки блокчейну Peckshield оцінила втрати приблизно в 3 мільйона доларів, викрадених у понад 11 жертв. Атака була компрометацією ланцюжка постачання, коли зловмисники націлюються на довіреного постачальника, щоб дістатися до більшої платформи, а не атакують системи цієї платформи безпосередньо.

Оскільки шкідливий код знаходився у фронтенді вебсайту, а не в базових смарт-контрактах, експлойт вразив рівень, з яким взаємодіє більшість користувачів. Відвідувачі, які завантажили скомпрометовану сторінку, отримували запит на підписання транзакцій, які виглядали легітимними, але натомість передавали контроль над їхніми активами зловмисникам. Кошти, заблоковані на ончейн-ринках Polymarket, ніколи не були під прямим ризиком, але користувачі, які схвалили підроблені транзакції, побачили, як їхні гаманці спорожніли.

Джерело зображення: X

Компанія підтверджує повне відшкодування всім постраждалим користувачам

Polymarket заявив, що зв'язується з жертвами індивідуально під час обробки відшкодувань, покриваючи витрати на злам, який стався поза його власною інфраструктурою. Компанія відшкодовує постраждалим користувачам «повністю».

Платформа на сьогодні обробила понад 100 мільйонів угод, що робить її одним із найактивніших майданчиків у криптосвіті. Polymarket та конкурент Kalshi разом забезпечили рекордний місяць у квітні.

Ринки прогнозів стикаються з посиленою безпекою та регуляторним контролем

Polymarket нещодавно розгорнув інструменти моніторингу Chainalysis для контролю цілісності ринку. Законодавці США досліджували ринки прогнозів щодо заходів захисту від інсайдерської торгівлі, причому один республіканський законопроєкт має на меті заборонити членам Конгресу та їхнім сім'ям робити ставки на результати політики.

Республіканець, представник Браян Стайл, вніс законопроєкт «Про заборону законодавцям прогнозувати», який би заборонив членам Палати представників, їхнім сім'ям та старшому персоналу торгувати на платформах ринків прогнозів.

FAQ

Що сталося під час порушення безпеки Polymarket у червні?

Хакери викрали приблизно 3 мільйона доларів у понад 11 користувачів Polymarket через шкідливий код, впроваджений через скомпрометованого стороннього постачальника. Атака використовувала фішинг у фронтенді, щоб обманом змусити користувачів схвалювати шахрайські транзакції, які спустошували їхні підключені гаманці.

Як Polymarket реагує на постраждалих користувачів?

Polymarket підтвердив, що повністю відшкодовує всім постраждалим жертвам, і заявив, що локалізував інцидент, видаливши скомпрометовану сторонню залежність. Компанія наголосила, що її основна інфраструктура та ончейн-ринки не були безпосередньо зламані.