Polymarketは、第三者のセキュリティ侵害によりハッカーがユーザーから300万ドルを不正に引き出したことを確認しました。

• 主なポイント： </span></p>
• <ul>
• <li><span style="font-weight: 400;">Polymarketによると、ハッカーは侵害されたサードパーティベンダーを介して11人以上のユーザーから約300万ドルを盗みました。 </span></li>
• <li><span style="font-weight: 400;">Peckshieldの調査によると、この攻撃は、ユーザーをフィッシングして不正な取引を承認させる悪意のあるフロントエンドコードに起因するものであることが判明しました。 </span></li>
• <li><span style="font-weight: 400;">予測市場に対するセキュリティおよび規制上の監視が強化される中、Polymarketは被害者に全額を返金すると表明しました。</span></li>
• </ul>
• <p><span style="font-weight: 400;">

直接的な侵害ではなくサプライチェーン攻撃

Polymarketは、外部プロバイダーの1社で発生した侵害により、攻撃者が一部のユーザー向けのフロントエンドに悪意のあるコードを仕込むことができたと明らかにしました。改ざんされたスクリプトはフィッシング攻撃を仕掛け、被害者を騙して不正な取引を承認させ、接続されたウォレットから資金を流出させました。

「本件は封じ込めた」とPolymarketは述べ、影響を受けた依存関係を削除し、「被害者に全額返金している」と付け加えました。同社は、自社のコアインフラやオンチェーン市場が侵害されたわけではなく、脆弱な部分はPolymarketのウェブサイトを通じてコードが提供されていたサードパーティのサプライヤーであったことを強調しました。

ブロックチェーンセキュリティ企業のPeckshieldは、11人以上の被害者から約300万ドルが流出したと推定しています。さらに、今回の攻撃は典型的なサプライチェーン攻撃であり、攻撃者はプラットフォームのシステムを直接攻撃するのではなく、信頼されているベンダーを標的にしてより大規模なプラットフォームに侵入しようとしたものです。

悪意のあるコードは基盤となるスマートコントラクトではなくウェブサイトのフロントエンドに存在したため、この攻撃はほとんどのユーザーが実際に操作するレイヤーを標的とした。侵害されたページを閲覧したユーザーは一見正当に見えるトランザクションへの署名を求められたが、実際には自身の資産の管理権限を攻撃者に渡す結果となった。

要するに、Polymarketのオンチェーン市場にロックされていた資金自体が直接的なリスクにさらされたわけではないものの、偽装されたトランザクションを承認したユーザーはウォレットの残高をすべて奪われました。

今後の対応

Polymarketは、外部要因による今回の侵害のコストを自社で負担し、迅速に返金手続きを進めるとともに、被害者一人一人に連絡を取っていると述べました（この措置は、急成長中のユーザーベースからの信頼を維持することを目的としていると考えられます）。

さらに、この侵害は予測市場が活況を呈している時期に発生したもので、Polymarketと競合他社であるKalshiが相まって、4月には過去最高の月間取引高を記録した。Polymarketだけでもこれまでに1億件以上の取引を処理しており、暗号資産市場で最も活発な取引所の1つとなっている。

この成長規模は観測筋の注目も集めており、その結果、同プラットフォームは最近、市場の健全性を監視するためにChainalysisの監視ツールを導入しました。並行して、米国の議員たちはインサイダー取引の防止策をめぐり予測市場を調査しており、ある共和党の法案では、議員とその家族が政策の結果に賭けることを禁止しようとしています。

6月の事件によって、こうした懸念事項に「運用上のセキュリティ」が加わりました。また、返金約束によって評判へのダメージは限定的になるかもしれませんが、現実には、予測市場は取引所やDeFiプロトコルと同様に、今や高度な攻撃者にとって収益性の高い標的として注目されています。