Platforma pro predikční trhy Polymarket uvedla, že hackeři ukradli uživatelům zhruba 3 miliony dolarů poté, co došlo k napadení externího dodavatele a do jeho webových stránek byl vložen škodlivý kód. Incident byl mezitím zcela zvládnut a postiženým uživatelům se začínají vyplácet plné náhrady.
Společnost Polymarket potvrdila, že hackeři odcizili uživatelům 3 miliony dolarů v důsledku narušení bezpečnosti u externího poskytovatele
NAPSAL
SDÍLET
Hlavní body
Útok na dodavatelský řetězec, nikoli přímé narušení bezpečnosti
Společnost Polymarket odhalila, že narušení u jednoho z jejích externích poskytovatelů umožnilo útočníkům vpašovat škodlivý kód do jejího frontendu u některých uživatelů. Tento zmanipulovaný skript poháněl phishingovou kampaň, která přiměla oběti ke schválení podvodných transakcí, které následně vyprázdnily prostředky z jejich připojených peněženek.
„Incident jsme zvládli,“ uvedla společnost Polymarket a dodala, že odstranila postiženou závislost a „obětem vrací prostředky v plné výši“. Společnost zdůraznila, že její vlastní základní infrastruktura ani trhy na blockchainu nebyly narušeny; slabým článkem byl externí dodavatel, jehož kód byl poskytován prostřednictvím webových stránek Polymarketu.
Společnost Peckshield zabývající se bezpečností blockchainu odhadla ztráty na přibližně 3 miliony dolarů, které byly odcizeny více než 11 obětem. Útok navíc představoval klasický případ narušení dodavatelského řetězce, při kterém útočníci namísto přímého útoku na systémy dané platformy cílí na důvěryhodného dodavatele, aby se dostali k větší platformě.
Jelikož se škodlivý kód nacházel ve frontendu webových stránek, nikoli v podkladových smart kontraktech, exploit zasáhl vrstvu, se kterou většina uživatelů skutečně interaguje. Návštěvníci, kteří načítali napadenou stránku, byli vyzváni k podepsání transakcí, které vypadaly legitimně, ale místo toho předali kontrolu nad svými aktivy útočníkům.
Stručně řečeno, prostředky uzamčené na on-chain trzích Polymarketu nikdy nebyly přímo ohroženy, ale uživatelům, kteří schválili tyto falešné transakce, byly vyprázdněny peněženky.
Co bude dál
Společnost Polymarket uvedla, že kontaktuje oběti individuálně a rychle zpracovává refundace, přičemž hradí náklady na únik dat, který vznikl mimo její vlastní systémy (tento krok je pravděpodobně zaměřen na zachování důvěry mezi její rychle rostoucí uživatelskou základnou).
K tomuto narušení navíc dochází v době, kdy predikční trhy zažívají boom, přičemž Polymarket a jeho konkurent Kalshi společně zaznamenali v dubnu rekordní měsíc. Samotný Polymarket dosud zpracoval více než 100 milionů obchodů, což z něj činí jedno z nejaktivnějších kryptoměnových tržišť.
Rozsah tohoto růstu neunikl pozornosti pozorovatelů, což vedlo k tomu, že platforma nedávno nasadila monitorovací nástroje Chainalysis k dohledu nad integritou trhu. Souběžně s tím se američtí zákonodárci zabývali predikčními trhy z hlediska ochrany před obchodováním s využitím důvěrných informací, přičemž jeden republikánský návrh zákona usiluje o to, aby členům Kongresu a jejich rodinám bylo zakázáno sázet na výsledky politických rozhodnutí.
Červnový incident přidává k tomuto seznamu obav také otázku provozní bezpečnosti. A i když slib vrácení peněz může omezit poškození reputace, skutečností zůstává, že predikční trhy, podobně jako burzy a protokoly DeFi, jsou nyní vnímány jako lukrativní cíle pro sofistikované útočníky.
Tento článek byl přeložen z angličtiny pomocí umělé inteligence. Původní anglická verze je autoritativním zdrojem; automatické překlady mohou obsahovat nepřesnosti, zejména v právní a regulační terminologii.
