Polymarket 周四确认,一个受损的第三方供应商允许攻击者将恶意代码注入预测市场的前端,盗取了约 300 万美元的用户资金。此次攻击并未针对 Polymarket 的智能合约,而是通过受损的供应商向部分用户的浏览器提供恶意脚本,该脚本访问了用户的钱包并盗取了 pUSD,即该平台由 USDC 支持的稳定币。供应链攻击已成为加密货币领域越来越有吸引力的攻击途径,因为它们完全绕过了经过审计的链上代码,攻击用户很少审查的网站层和外部依赖项。
攻击者通过受损供应商注入恶意脚本
受损的供应商向部分用户的浏览器提供了恶意脚本,该脚本访问了用户的钱包并盗取了 pUSD,即该平台用于结算所有交易的由 USDC 支持的稳定币。攻击者随后将被盗资金从 Polygon 桥接到 Ethereum,并将其兑换成约 1,893 ETH,将收益集中到一个钱包中。由于恶意代码存在于网站而非区块链中,受影响的用户几乎没有方法检测到他们信任的界面已被篡改。Polymarket 拒绝透露受损供应商的名称,也未进一步置评。
受影响账户少于 15 个,承诺全额退款
Bubblemaps 的链上调查人员得出结论,损失基本得到控制,受影响用户账户少于 15 个。Polymarket 表示将全额退款给受影响的客户,并确认前端问题已得到控制,受影响的依赖项已被移除。账户数量有限表明,在 Polymarket 发现并移除恶意脚本之前,该脚本只影响了一部分用户。该公司在一篇帖子中表示,它于今早发现了受损的第三方供应商,并已控制了漏洞并移除了受影响的依赖项。
两个月内 Polymarket 第二次安全漏洞
此次漏洞是 Polymarket 两个月内第二次。5月,一起涉及员工凭证泄露的钱包利用事件导致约 70 万美元的损失,起因是私钥泄露而非网站漏洞。这两起事件共同指向了运营和第三方风险,而非底层协议本身的弱点。前端和供应链攻击完全绕过经过审计的智能合约,攻击用户很少审查的网站层和外部依赖项,随着链上代码本身变得越来越难破解,这种攻击向量已成为越来越有吸引力的目标。
常见问题
Polymarket 为何会发生盗取 300 万美元用户资金的漏洞?
一个受损的第三方供应商允许攻击者将恶意代码注入 Polymarket 的前端。恶意脚本访问了部分用户的浏览器,从其钱包中盗取了 pUSD,并将被盗资金转换为约 1,893 ETH。此次攻击针对的是网站层而非 Polymarket 的智能合约。
有多少 Polymarket 用户受到供应商漏洞的影响?
Bubblemaps 的链上调查人员发现,受恶意脚本影响的账户少于 15 个。Polymarket 承诺全额退款给受影响的客户,并确认前端问题已得到控制,受影响的依赖项已被移除。
Polymarket 近期是否发生过其他安全事件?
5月,Polymarket 发生了一起单独的钱包利用事件,涉及员工凭证泄露,导致约 70 万美元的损失。该事件归因于私钥泄露而非网站漏洞,这使得此次供应商漏洞成为 Polymarket 两个月内的第二次安全事件。
