পলিমার্কেট নিশ্চিত করেছে তৃতীয়-পক্ষের লঙ্ঘনের পর হ্যাকাররা ব্যবহারকারীদের কাছ থেকে ৩ মিলিয়ন ডলার হাতিয়ে নিয়েছে

সরাসরি ব্রিচ নয়, এটি একটি সাপ্লাই-চেইন আক্রমণ

Polymarket প্রকাশ করেছে যে, তাদের এক বাহ্যিক সেবাদাতার আপসের ফলে আক্রমণকারীরা কিছু ব্যবহারকারীর জন্য তাদের ফ্রন্টএন্ডে ক্ষতিকর কোড ঢুকিয়ে দিতে পেরেছিল। বিকৃত স্ক্রিপ্টটি একটি ফিশিং অভিযানে কাজ করেছে, যা ভুক্তভোগীদের প্রতারণামূলক লেনদেন অনুমোদন করতে প্রলুব্ধ করেছিল—এবং এরপর তাদের সংযুক্ত ওয়ালেট থেকে তহবিল বের করে নেওয়া হয়।

“আমরা ঘটনাটি নিয়ন্ত্রণে এনেছি,” Polymarket বলেছে, যোগ করে যে তারা প্রভাবিত ডিপেনডেন্সি সরিয়ে দিয়েছে এবং “তাদের সম্পূর্ণ রিফান্ড দিচ্ছে।” কোম্পানিটি জোর দিয়ে বলেছে যে তাদের নিজস্ব মূল অবকাঠামো এবং অনচেইন মার্কেটগুলোতে কোনো ব্রিচ হয়নি; দুর্বল সংযোগটি ছিল একটি তৃতীয়-পক্ষ সরবরাহকারী, যার কোড Polymarket-এর ওয়েবসাইটের মাধ্যমে সার্ভ করা হচ্ছিল।

ব্লকচেইন নিরাপত্তা প্রতিষ্ঠান Peckshield অনুমান করেছে যে ১১ জনের বেশি ভুক্তভোগীর কাছ থেকে আনুমানিক ৩ মিলিয়ন ডলার ড্রেইন করা হয়েছে। এছাড়া, এই আক্রমণটি ছিল একটি ক্লাসিক সাপ্লাই-চেইন কমপ্রোমাইজ—যেখানে প্রতিপক্ষরা বৃহত্তর কোনো প্ল্যাটফর্মে পৌঁছাতে সেই প্ল্যাটফর্মের সিস্টেমে সরাসরি হামলা না করে একটি বিশ্বস্ত ভেন্ডরকে লক্ষ্য করে।

যেহেতু ক্ষতিকর কোডটি অন্তর্নিহিত স্মার্ট কন্ট্র্যাক্ট নয়, বরং ওয়েবসাইটের ফ্রন্টএন্ডে ছিল, তাই এক্সপ্লয়েটটি সেই স্তরেই আঘাত করেছে যেটির সঙ্গে অধিকাংশ ব্যবহারকারী বাস্তবে ইন্টারঅ্যাক্ট করে। যারা আপসকৃত পেজটি লোড করেছিলেন, তাদের এমন কিছু ট্রানজ্যাকশনে সাইন করতে বলা হয়েছিল যা দেখতে বৈধ মনে হচ্ছিল, কিন্তু আসলে আক্রমণকারীদের কাছে তাদের সম্পদের নিয়ন্ত্রণ হস্তান্তর করে দিচ্ছিল।

সারসংক্ষেপে, Polymarket-এর অনচেইন মার্কেটে লক থাকা তহবিল কখনোই সরাসরি ঝুঁকিতে ছিল না, তবে যারা স্পুফ করা লেনদেনগুলো অনুমোদন করেছিলেন তাদের ওয়ালেট খালি হয়ে গেছে।

এরপর কী হবে

Polymarket বলেছে, দ্রুত রিফান্ড প্রক্রিয়ার অংশ হিসেবে তারা ভুক্তভোগীদের সঙ্গে আলাদাভাবে যোগাযোগ করছে এবং যে ব্রিচটি তাদের নিজস্ব সীমার বাইরে থেকে উৎপত্তি হয়েছিল তার খরচ তারা নিজেরাই বহন করছে (যা সম্ভবত তাদের দ্রুত-বর্ধনশীল ব্যবহারকারীভিত্তির মধ্যে আস্থা ধরে রাখার লক্ষ্যেই করা হচ্ছে)।

এছাড়াও, এই ব্রিচটি এমন এক সময়ে ঘটেছে যখন প্রেডিকশন মার্কেটগুলো দ্রুত বাড়ছে; Polymarket এবং প্রতিদ্বন্দ্বী Kalshi এপ্রিল মাসে একসঙ্গে রেকর্ড মাস তৈরি করেছে। Polymarket একাই এখন পর্যন্ত ১০ কোটির বেশি ট্রেড প্রসেস করেছে, যা এটিকে ক্রিপ্টোতে সবচেয়ে সক্রিয় ভেন্যুগুলোর একটি করে তুলেছে।

এই বৃদ্ধির ব্যাপ্তি পর্যবেক্ষকদের চোখ এড়ায়নি; ফলে প্ল্যাটফর্মটি সম্প্রতি বাজারের অখণ্ডতা পর্যবেক্ষণে Chainalysis নজরদারি টুলস মোতায়েন করেছে। সমান্তরালে, যুক্তরাষ্ট্রের আইনপ্রণেতারা ইনসাইডার-ট্রেডিং সুরক্ষা ব্যবস্থা নিয়ে প্রেডিকশন মার্কেটগুলো পরীক্ষা-নিরীক্ষা করেছেন; একটি রিপাবলিকান বিল কংগ্রেসের সদস্যদের এবং তাদের পরিবারের সদস্যদের নীতিগত ফলাফলের ওপর বাজি ধরা নিষিদ্ধ করতে চায়।

জুনের ঘটনাটি উদ্বেগের তালিকায় অপারেশনাল নিরাপত্তাকেও যুক্ত করেছে। আর, রিফান্ডের প্রতিশ্রুতি সুনামহানির ক্ষতি সীমিত করতে পারে, তবে বাস্তবতা হলো—এক্সচেঞ্জ এবং DeFi প্রোটোকলের মতোই প্রেডিকশন মার্কেটগুলো এখন দক্ষ ও পরিশীলিত আক্রমণকারীদের জন্য লাভজনক লক্ষ্য হিসেবে বিবেচিত হচ্ছে।