पूर्वानुमान-बाज़ार प्लेटफ़ॉर्म पॉलीमार्केट ने कहा कि एक तृतीय-पक्ष विक्रेता के समझौता होने और उसकी वेबसाइट में दुर्भावनापूर्ण कोड इंजेक्ट किए जाने के बाद हैकर्स ने उपयोगकर्ताओं से लगभग 3 मिलियन डॉलर चुरा लिए। इस घटना को तब से पूरी तरह से नियंत्रित कर लिया गया है, और प्रभावित उपयोगकर्ताओं को पूरी तरह से रिफंड दिया जा रहा है।
पॉलीमार्केट ने पुष्टि की कि तीसरे पक्ष के उल्लंघन के बाद हैकर्स ने उपयोगकर्ताओं से 3 मिलियन डॉलर निकाले।
लेखक
शेयर
मुख्य बातें
एक सप्लाई-चेन हमला, सीधा उल्लंघन नहीं
पॉलीमार्केट ने खुलासा किया कि उसके एक बाहरी प्रदाता में हुई चूक ने हमलावरों को कुछ उपयोगकर्ताओं के लिए उसके फ्रंटएंड में दुर्भावनापूर्ण कोड डालने की अनुमति दी। इस छेड़छाड़ किए गए स्क्रिप्ट ने एक फ़िशिंग अभियान को शक्ति दी जिसने पीड़ितों को धोखाधड़ी वाले लेनदेन को मंजूरी देने के लिए धोखा दिया, जिसने फिर उनके जुड़े वॉलेट से धन निकाल लिया।
पॉलीमार्केट ने कहा, "हमने इस घटना को रोक लिया है," और यह भी बताया कि उसने प्रभावित डिपेंडेंसी को हटा दिया है और "उन्हें पूरा रिफंड" दे रहा है। कंपनी ने जोर देकर कहा कि उसके अपने मुख्य बुनियादी ढांचे और ऑनचेन बाज़ारों में कोई सेंधमारी नहीं हुई, और कमजोर कड़ी एक तीसरे पक्ष के आपूर्तिकर्ता की थी जिसका कोड पॉलीमार्केट की वेबसाइट के माध्यम से परोसा गया था।
ब्लॉकचेन सुरक्षा फर्म पेक्सशील्ड ने नुकसान का अनुमान लगभग 3 मिलियन डॉलर लगाया, जो 11 से अधिक पीड़ितों से निकाले गए थे। इसके अतिरिक्त, यह हमला एक क्लासिक सप्लाई-चेन समझौता था, जिसमें प्रतिपक्षी सीधे उस प्लेटफॉर्म की प्रणालियों पर हमला करने के बजाय एक बड़े प्लेटफॉर्म तक पहुंचने के लिए एक विश्वसनीय विक्रेता को निशाना बनाते हैं।
चूंकि दुर्भावनापूर्ण कोड वेबसाइट के फ्रंटएंड में था, न कि अंतर्निहित स्मार्ट कॉन्ट्रैक्ट्स में, इसलिए यह एक्सप्लॉइट उस परत को प्रभावित कर गया जिससे अधिकांश उपयोगकर्ता वास्तव में इंटरैक्ट करते हैं। जो विज़िटर संदिग्ध पेज लोड करते थे, उनसे ऐसे लेनदेन पर हस्ताक्षर करने के लिए कहा गया जो वैध लग रहे थे, लेकिन वास्तव में उन्होंने हमलावरों को अपनी संपत्ति का नियंत्रण सौंप दिया।
कुल मिलाकर, पॉलीमार्केट के ऑनचेन मार्केट में लॉक किए गए फंड कभी भी सीधे तौर पर जोखिम में नहीं थे, लेकिन जिन उपयोगकर्ताओं ने नकली लेनदेन को मंजूरी दी, उनके वॉलेट खाली हो गए।
आगे क्या होगा
पॉलीमार्केट ने कहा कि वह तेजी से रिफंड की प्रक्रिया कर रहा है और पीड़ितों से व्यक्तिगत रूप से संपर्क कर रहा है, जिससे उस उल्लंघन की लागत वह खुद उठा रहा है जो उसकी अपनी सुरक्षा से बाहर शुरू हुआ था (यह कदम संभवतः अपने तेजी से बढ़ते उपयोगकर्ता आधार के बीच विश्वास बनाए रखने के उद्देश्य से उठाया गया है)।
इसके अतिरिक्त, यह उल्लंघन ऐसे समय में हुआ है जब भविष्यवाणी बाज़ार फल-फूल रहे हैं, और पॉलीमार्केट और प्रतिद्वंद्वी कालशी ने मिलकर अप्रैल में एक रिकॉर्ड महीना बनाया है। अकेले पॉलीमार्केट ने अब तक 100 मिलियन से अधिक ट्रेड संसाधित किए हैं, जो इसे क्रिप्टो में सबसे सक्रिय स्थलों में से एक बनाता है।
इस विकास के पैमाने पर पर्यवेक्षकों ने ध्यान दिया है, जिसके परिणामस्वरूप प्लेटफ़ॉर्म ने हाल ही में बाज़ार की अखंडता की निगरानी के लिए चेनएनालिसिस (Chainalysis) निगरानी उपकरणों को तैनात किया है। साथ ही, अमेरिकी सांसदों ने अंदरूनी-व्यापार (insider-trading) सुरक्षा उपायों को लेकर भविष्यवाणी बाज़ारों की जांच की है, जिसमें एक रिपब्लिकन विधेयक कांग्रेस के सदस्यों और उनके परिवारों को नीतिगत परिणामों पर सट्टा लगाने से रोकने की मांग कर रहा है।
जून की घटना उन चिंताओं की सूची में परिचालन सुरक्षा को जोड़ती है। और, जबकि वापसी का वादा प्रतिष्ठा को होने वाले नुकसान को सीमित कर सकता है, वास्तविकता यह है कि भविष्यवाणी बाज़ारों को, एक्सचेंजों और डीआईएफआई प्रोटोकॉल की तरह ही, अब परिष्कृत हमलावरों के लिए लाभदायक रास्ते के रूप में देखा जा रहा है।
यह लेख AI का उपयोग करके अंग्रेज़ी से अनुवादित किया गया था। मूल अंग्रेज़ी संस्करण आधिकारिक स्रोत है; स्वचालित अनुवादों में अशुद्धियाँ हो सकती हैं, विशेष रूप से कानूनी और नियामक शब्दावली में।
