Polymarket xác nhận vụ trộm $3M từ người dùng thông qua vi phạm bên thứ ba

Polymarket xác nhận tin tặc đã đánh cắp khoảng 3 triệu USD từ hơn 11 người dùng thông qua một nhà cung cấp bên thứ ba bị xâm phạm vào tháng 6. Vụ tấn công liên quan đến mã frontend độc hại lừa người dùng phê duyệt các giao dịch gian lận, theo công ty bảo mật blockchain Peckshield. Công ty cho biết đang hoàn trả đầy đủ cho tất cả nạn nhân bị ảnh hưởng, nhấn mạnh rằng cơ sở hạ tầng cốt lõi và các thị trường on-chain của họ không bị xâm phạm trực tiếp. Sự cố này làm nổi bật những thách thức bảo mật ngày càng tăng mà các thị trường dự đoán phải đối mặt khi lĩnh vực này đang trải qua tăng trưởng nhanh chóng và sự giám sát chặt chẽ hơn từ cơ quan quản lý.

Polymarket Xác Định Nguồn Gốc Tấn Công Từ Việc Tiêm Mã Độc Qua Nhà Cung Cấp Bên Thứ Ba

Polymarket tiết lộ rằng một vụ xâm phạm tại một trong các nhà cung cấp bên ngoài của họ đã cho phép tin tặc chèn mã độc vào giao diện người dùng của một số người dùng. Tập lệnh bị can thiệp đã hỗ trợ một chiến dịch lừa đảo dụ dỗ nạn nhân phê duyệt các giao dịch gian lận, sau đó rút tiền từ ví đã kết nối của họ.

"Chúng tôi đã kiểm soát được sự cố," Polymarket tuyên bố, đồng thời cho biết đã loại bỏ phần phụ thuộc bị ảnh hưởng. Công ty nhấn mạnh rằng cơ sở hạ tầng cốt lõi và các thị trường on-chain của họ không bị xâm phạm, với điểm yếu là một nhà cung cấp bên thứ ba có mã được phục vụ thông qua trang web của Polymarket.

Công ty bảo mật blockchain Peckshield ước tính thiệt hại khoảng 3 triệu USD bị rút từ hơn 11 nạn nhân. Vụ tấn công là một vụ xâm phạm chuỗi cung ứng, trong đó kẻ thù nhắm vào một nhà cung cấp đáng tin cậy để tiếp cận một nền tảng lớn hơn thay vì tấn công trực tiếp vào hệ thống của nền tảng đó.

Vì mã độc nằm trong giao diện người dùng của trang web thay vì các hợp đồng thông minh cơ bản, vụ khai thác đã tấn công vào lớp mà hầu hết người dùng tương tác. Những khách truy cập tải trang bị xâm phạm được nhắc ký các giao dịch trông có vẻ hợp pháp nhưng thay vào đó lại trao quyền kiểm soát tài sản của họ cho tin tặc. Các khoản tiền bị khóa trong các thị trường on-chain của Polymarket chưa bao giờ gặp rủi ro trực tiếp, nhưng những người dùng đã phê duyệt các giao dịch giả mạo đã thấy ví của họ bị rỗng.

Nguồn ảnh: X

Công Ty Xác Nhận Hoàn Trả Đầy Đủ Cho Tất Cả Người Dùng Bị Ảnh Hưởng

Polymarket cho biết họ đang liên hệ riêng với từng nạn nhân khi xử lý hoàn tiền, tự chịu chi phí của một vụ vi phạm bắt nguồn từ bên ngoài cơ sở hạ tầng của chính mình. Công ty đang hoàn trả cho người dùng bị ảnh hưởng "đầy đủ".

Nền tảng đã xử lý hơn 100 triệu giao dịch cho đến nay, khiến nó trở thành một trong những địa điểm sôi động nhất trong lĩnh vực tiền điện tử. Polymarket và đối thủ Kalshi cùng nhau đạt kỷ lục tháng 4 vừa qua.

Thị Trường Dự Đoán Đối Mặt Với Sự Giám Sát Bảo Mật và Quy Định Ngày Càng Cao

Polymarket gần đây đã triển khai các công cụ giám sát Chainalysis để theo dõi tính toàn vẹn của thị trường. Các nhà lập pháp Hoa Kỳ đã thẩm tra các thị trường dự đoán về các biện pháp bảo vệ giao dịch nội gián, với một dự luật của đảng Cộng hòa tìm cách cấm các thành viên Quốc hội và gia đình họ đặt cược vào kết quả chính sách.

Hạ nghị sĩ Đảng Cộng hòa Bryan Steil đã giới thiệu Đạo luật Ngăn các Nhà lập pháp Dự đoán, một dự luật sẽ cấm các thành viên Hạ viện, gia đình và nhân viên cấp cao của họ giao dịch trên các nền tảng thị trường dự đoán.

Câu Hỏi Thường Gặp

Điều gì đã xảy ra trong vụ vi phạm bảo mật Polymarket vào tháng 6?

Tin tặc đã đánh cắp khoảng 3 triệu USD từ hơn 11 người dùng Polymarket thông qua mã độc được chèn qua một nhà cung cấp bên thứ ba bị xâm phạm. Vụ tấn công sử dụng lừa đảo frontend để lừa người dùng phê duyệt các giao dịch gian lận làm rỗng ví đã kết nối của họ.

Polymarket đang phản ứng thế nào với những người dùng bị ảnh hưởng?

Polymarket xác nhận đang hoàn trả đầy đủ cho tất cả nạn nhân bị ảnh hưởng và cho biết đã kiểm soát được sự cố bằng cách loại bỏ phần phụ thuộc bên thứ ba bị xâm phạm. Công ty nhấn mạnh rằng cơ sở hạ tầng cốt lõi và các thị trường on-chain của họ không bị xâm phạm trực tiếp.