קראו באפליקציה
מופעל ע"י
Crypto News

פולימרקט מאשרת שהאקרים רוקנו 3 מיליון דולר ממשתמשים לאחר פריצה של צד שלישי

פלטפורמת שוק החיזוי Polymarket מסרה כי האקרים גנבו כ-3 מיליון דולר ממשתמשים לאחר שספק צד-שלישי נפרץ והוזרק קוד זדוני לאתר שלה. מאז, התקרית הוכלה במלואה, ותהליכי ההחזר למשתמשים שנפגעו החלו — במלוא הסכום.

נכתב ע"י
Shiraz JagatiShiraz Jagati
שתף
פולימרקט מאשרת שהאקרים רוקנו 3 מיליון דולר ממשתמשים לאחר פריצה של צד שלישי

עיקרי הדברים

  • Polymarket מסרה כי האקרים גנבו כ-3 מיליון דולר מיותר מ-11 משתמשים באמצעות ספק צד-שלישי שנפגע.
  • Peckshield עקבה אחר הניצול אל קוד זדוני בצד ה-Frontend שפיתה משתמשים לאשר עסקאות הונאה.
  • Polymarket הצהירה כי היא מחזירה לקורבנות את מלוא הכספים, בעוד ששווקי החיזוי ניצבים מול פיקוח אבטחתי ורגולטורי הולך וגובר.

מתקפת שרשרת אספקה, לא פריצה ישירה

Polymarket חשפה כי פגיעה באחד מהספקים החיצוניים שלה אפשרה לתוקפים להחדיר קוד זדוני ל-Frontend שלה עבור חלק מהמשתמשים. הסקריפט ששובש הפעיל קמפיין פישינג שהטעה את הקורבנות לאשר עסקאות הונאה, אשר לאחר מכן רוקנו כספים מהארנקים המחוברים שלהם.

“הכילנו את התקרית,” אמרה Polymarket, והוסיפה כי הסירה את התלות שהושפעה וכי היא “מחזירה להם את מלוא הסכום.” החברה הדגישה כי תשתית הליבה שלה והשוקים ה-onchain שלה לא נפרצו, כאשר החוליה החלשה הייתה ספק צד-שלישי שקודו הוגש דרך אתר Polymarket.

חברת אבטחת הבלוקצ’יין Peckshield העריכה את ההפסדים בכ-3 מיליון דולר שנמשכו מיותר מ-11 קורבנות. בנוסף, ההתקפה הייתה פגיעה קלאסית בשרשרת האספקה, שבה יריבים מכוונים לספק מהימן כדי להגיע לפלטפורמה גדולה יותר, במקום לתקוף ישירות את מערכות אותה פלטפורמה.

Tweet discussing Polymarket's recent hack.
מקור התמונה: X

מאחר שהקוד הזדוני היה ב-Frontend של האתר ולא בחוזים החכמים הבסיסיים, הניצול פגע בשכבה שבה רוב המשתמשים למעשה מתקשרים. מבקרים שטענו את הדף שנפגע הונחו לחתום על עסקאות שנראו לגיטימיות, אך בפועל העבירו לתוקפים שליטה בנכסיהם.

בסיכומו של דבר, הכספים שננעלו בשווקים ה-onchain של Polymarket מעולם לא היו בסיכון ישיר, אך משתמשים שאישרו את העסקאות המזויפות ראו את הארנקים שלהם מתרוקנים.

מה קורה עכשיו

Polymarket מסרה כי היא יוצרת קשר עם הקורבנות באופן פרטני תוך כדי עיבוד ההחזרים במהירות, וסופגת את עלות הפריצה שמקורה מחוץ לכותליה שלה (צעד שסביר שנועד לשמר אמון בקרב בסיס המשתמשים הצומח במהירות).

בנוסף, הפריצה מגיעה בזמן שבו שווקי החיזוי פורחים, כאשר Polymarket והמתחרה Kalshi יחד מובילות חודש שיא באפריל. Polymarket לבדה עיבדה עד כה יותר מ-100 מיליון עסקאות, מה שהופך אותה לאחת הזירות הפעילות ביותר בקריפטו.

היקף הצמיחה הזה לא נעלם מעיני משקיפים, וכתוצאה מכך הפלטפורמה פרסה לאחרונה כלי ניטור של Chainalysis כדי לפקח על שלמות השוק. במקביל, מחוקקים בארה”ב בדקו שווקי חיזוי בכל הנוגע להגנות מפני מסחר במידע פנים, כאשר הצעת חוק רפובליקנית אחת מבקשת לאסור על חברי קונגרס ובני משפחותיהם להמר על תוצאות מדיניות.

תקרית יוני מוסיפה אבטחה תפעולית לרשימת החששות הזו. ולמרות שהתחייבות ההחזר עשויה לצמצם פגיעה במוניטין, המציאות נותרת ששווקי חיזוי, בדומה לבורסות ולפרוטוקולי DeFi, נתפסים כעת כנתיב רווחי לתוקפים מתוחכמים.

"לעצור מחוקקים מלהמר על תחזיות": הצעת חוק של הרפובליקנים מכוונת להימורים של חברי הקונגרס ב‑Kalshi וב‑Polymarket

"לעצור מחוקקים מלהמר על תחזיות": הצעת חוק של הרפובליקנים מכוונת להימורים של חברי הקונגרס ב‑Kalshi וב‑Polymarket

חוק "Stop Lawmakers from Predicting" של חבר הקונגרס בריאן סטייל יאסור על חברי בית הנבחרים ובני משפחותיהם להמר ב-Kalshi וב-Polymarket. read more.

מאמר זה תורגם מאנגלית באמצעות בינה מלאכותית. הגרסה המקורית באנגלית היא המקור הקובע; תרגומים אוטומטיים עשויים להכיל אי-דיוקים, במיוחד במונחים משפטיים ורגולטוריים.

תגיות בכתבה זו
HackKalshiPolymarketPrediction markets