A Polymarket előrejelzési piaci platform közlése szerint hackerek körülbelül 3 millió dollárt loptak el a felhasználóktól, miután egy külső szolgáltató rendszerét feltörték, és rosszindulatú kódot juttattak be a weboldalára. Az incidenst azóta teljes mértékben megfékezték, és az érintett felhasználók számára teljes összegű visszatérítést kezdeményeztek.
Key Takeaways
A Polymarket megerősítette, hogy hackerek 3 millió dollárt csaltak ki a felhasználóktól egy külső szolgáltatónál történt biztonsági rés miatt
ÍRTA
MEGOSZTÁS
- </span></p>
- <p><span style="font-weight: 400;">Főbb megállapítások: </span></p>
- <ul>
- <li><span style="font-weight: 400;">A Polymarket közlése szerint a hackerek egy feltört külső szolgáltatón keresztül mintegy 3 millió dollárt loptak el több mint 11 felhasználótól. </span></li>
- <li><span style="font-weight: 400;">A Peckshield a támadást egy rosszindulatú frontend-kódra vezette vissza, amely a felhasználókat csalásos tranzakciók jóváhagyására késztette. </span></li>
- <li><span style="font-weight: 400;">A Polymarket kijelentette, hogy teljes mértékben visszatéríti a károsultak pénzét, miközben a jóslati piacok egyre nagyobb biztonsági és szabályozási ellenőrzésnek vannak kitéve.</span></li>
- </ul>
- <p><span style="font-weight: 400;">
Ellátási lánc elleni támadás, nem közvetlen biztonsági rés
A Polymarket közölte, hogy egyik külső szolgáltatójánál történt biztonsági rés lehetővé tette a támadók számára, hogy rosszindulatú kódot csempésszenek be a frontendjébe egyes felhasználók esetében. A meghamisított szkript egy adathalász kampányt hajtott végre, amely rávezette az áldozatokat, hogy jóváhagyják a csaló tranzakciókat, amelyek ezután kiürítették a kapcsolódó pénztárcáikban lévő pénzeszközöket.
„Sikerült megfékeznünk az incidenst” – közölte a Polymarket, hozzátéve, hogy eltávolította az érintett függőséget, és „teljes mértékben visszatéríti az összegeket”. A vállalat hangsúlyozta, hogy saját alapvető infrastruktúrája és láncon belüli piacai nem kerültek feltörésre; a gyenge láncszem egy harmadik fél szolgáltató volt, akinek kódját a Polymarket weboldalán keresztül szolgáltatták.
A Peckshield blokklánc-biztonsági cég a veszteségeket körülbelül 3 millió dollárra becsülte, amelyet több mint 11 áldozatból szereztek meg. Ezen felül a támadás egy klasszikus ellátási lánc-megsértés volt, amelynek során a támadók egy megbízható beszállítót vettek célba, hogy egy nagyobb platformhoz jussanak, ahelyett, hogy közvetlenül a platform rendszereit támadnák meg.
Mivel a rosszindulatú kód nem az alapul szolgáló intelligens szerződésekben, hanem a weboldal frontendjében rejtőzött, a támadás azt a réteget érintette, amellyel a legtöbb felhasználó ténylegesen interakcióba lép. Azok a látogatók, akik betöltötték a kompromittált oldalt, felkérést kaptak olyan tranzakciók aláírására, amelyek legitimnek tűntek, de valójában a támadók kezébe adták eszközeik irányítását.
Összefoglalva: a Polymarket láncon belüli piacain zárolt pénzeszközök soha nem voltak közvetlen veszélyben, de azoknak a felhasználóknak, akik jóváhagyták a hamis tranzakciókat, kiürült a pénztárcájuk.
Mi történik ezután
A Polymarket közölte, hogy egyenként felveszi a kapcsolatot az áldozatokkal, miközben gyorsan feldolgozza a visszatérítéseket, magára vállalva a saját rendszerén kívülről eredő biztonsági rés költségeit (ez a lépés valószínűleg a gyorsan növekvő felhasználói bázis bizalmának megőrzését célozza).
Ráadásul a biztonsági incidens éppen akkor következett be, amikor a predikciós piacok virágkorukat élik: a Polymarket és riválisa, a Kalshi együttesen rekordhónapot zárt áprilisban. A Polymarket eddig önmagában több mint 100 millió tranzakciót bonyolított le, ami a kriptopiac egyik legaktívabb kereskedési helyszínévé teszi.
A növekedés mértéke nem maradt észrevétlen a megfigyelők számára, ami azt eredményezte, hogy a platform nemrégiben bevezette a Chainalysis felügyeleti eszközeit a piac integritásának figyelemmel kísérésére. Ezzel párhuzamosan az amerikai törvényhozók is vizsgálódtak a jóslati piacok belső kereskedelem elleni védelmi intézkedései kapcsán; egy republikánus törvényjavaslat például arra irányul, hogy megtiltsák a kongresszusi képviselőknek és családtagjaiknak a politikai események kimenetelére való fogadásokat.
A júniusi incidens a működési biztonságot is felvette a aggodalmak listájára. És bár a visszatérítési ígéret korlátozhatja a hírnévrombolást, a valóság az, hogy a jóslati piacokat – hasonlóan a tőzsdékhez és a DeFi-protokollokhoz – ma már a kifinomult támadók számára jövedelmező lehetőségként tekintenek.
Ezt a cikket mesterséges intelligencia segítségével fordították le angolról. Az eredeti angol nyelvű változat a hiteles forrás; az automatikus fordítások pontatlanságokat tartalmazhatnak, különösen a jogi és szabályozási terminológiában.
