Platforma za tržišta predviđanja Polymarket priopćila je da su hakeri korisnicima ukrali otprilike 3 milijuna dolara nakon što je kompromitiran dobavljač treće strane i u njezinu je web-stranicu ubrizgan zlonamjeran kod. Incident je u međuvremenu u potpunosti obuzdan, a za pogođene korisnike pokreće se isplata povrata u cijelosti.
Polymarket potvrđuje da su hakeri ispraznili 3 milijuna dolara korisnicima nakon proboja treće strane
NAPISAO
PODIJELI
Ključne poruke
Napad na opskrbni lanac, a ne izravno probijanje
Polymarket je otkrio da je kompromitacija kod jednog od njegovih vanjskih pružatelja usluga napadačima omogućila ubacivanje zlonamjernog koda u njegov frontend za neke korisnike. Izmijenjena skripta pokretala je phishing kampanju koja je prevarila žrtve da odobre prijevarne transakcije, nakon čega su sredstva ispražnjena iz njihovih povezanih novčanika.
“Incident smo obuzdali”, rekao je Polymarket, dodavši da je uklonio pogođenu ovisnost i da “vraća sredstva u cijelosti.” Tvrtka je naglasila da njezina temeljna infrastruktura i onchain tržišta nisu probijeni, pri čemu je slaba karika bio dobavljač treće strane čiji se kod isporučivao putem Polymarketove web-stranice.
Tvrtka za sigurnost blockchaina Peckshield procijenila je gubitke na otprilike 3 milijuna dolara, ispražnjena od više od 11 žrtava. Osim toga, napad je bio klasična kompromitacija opskrbnog lanca, u kojoj protivnici ciljaju pouzdanog dobavljača kako bi dosegli veću platformu, umjesto da napadnu sustave te platforme izravno.
Budući da je zlonamjerni kod bio u frontendu web-stranice, a ne u temeljnim pametnim ugovorima, exploit je pogodio sloj s kojim većina korisnika zapravo komunicira. Posjetitelji koji su učitali kompromitiranu stranicu bili su potaknuti da potpišu transakcije koje su izgledale legitimno, ali su umjesto toga predale kontrolu nad njihovom imovinom napadačima.
Ukratko, sredstva zaključana u Polymarketovim onchain tržištima nikada nisu bila izravno ugrožena, no korisnici koji su odobrili lažirane transakcije vidjeli su kako su im novčanici ispražnjeni.
Što slijedi
Polymarket je rekao da pojedinačno kontaktira žrtve dok ubrzano obrađuje povrate, preuzimajući trošak proboja koji je nastao izvan njegovih vlastitih sustava (potez vjerojatno usmjeren na očuvanje povjerenja među njegovom brzo rastućom bazom korisnika).
Osim toga, proboj dolazi u trenutku kada tržišta predviđanja doživljavaju procvat, pri čemu Polymarket i konkurent Kalshi zajedno ostvaruju rekordan mjesec u travnju. Sam Polymarket do danas je obradio više od 100 milijuna trgovina, što ga čini jednim od najaktivnijih mjesta u kriptu.
Razmjer tog rasta nije promaknuo promatračima, pa je platforma nedavno uvela Chainalysis alate za nadzor kako bi pratila integritet tržišta. Paralelno, američki zakonodavci ispitali su tržišta predviđanja u vezi sa zaštitama od insajderskog trgovanja, pri čemu jedan republikanski prijedlog zakona nastoji zabraniti članovima Kongresa i njihovim obiteljima klađenje na ishode politika.
Incident iz lipnja toj listi zabrinutosti dodaje operativnu sigurnost. I premda bi obećanje povrata moglo ograničiti reputacijsku štetu, činjenica ostaje da se tržišta predviđanja, slično mjenjačnicama i DeFi protokolima, sada promatraju kao unosni pravci za sofisticirane napadače.
Ovaj je članak preveden s engleskog jezika pomoću umjetne inteligencije. Izvorna engleska verzija mjerodavan je izvor; automatski prijevodi mogu sadržavati netočnosti, osobito u pravnoj i regulatornoj terminologiji.
