Polymarket、内部管理用ウォレットが侵害され70万ドルの被害を受ける

Polymarketでセキュリティインシデント発生：ユーザー資金への影響なし

世界最大級の予測市場の一つであるPolymarketでセキュリティインシデントが発生し、プラットフォームのコミュニティに警告が発せられました。

金曜日、ブロックチェーンインテリジェンス研究者のZachXBTは、Polygon上の同プラットフォームの管理アドレスが侵害された可能性を指摘し、すでに多額の資金が流出していたことを明らかにしました。

Bubblemapsによると、攻撃者は30秒ごとに5,000 POLを引き出し、その資金を中央集権型取引所やその他のサービスを含む16のアドレスに分割して送金していました。執筆時点で、損失額は70万ドルに達したとの報道があります。

その後、同プラットフォームはこのセキュリティインシデントを認め、Polymarketのシャンティキラン・チャナル氏は「報酬の支払いに関連するセキュリティ報告を把握している」と述べたものの、ユーザーの資金や市場の決済機能は安全であると主張しました。

「調査の結果、契約やコアインフラではなく、内部業務に使用されていたウォレットの秘密鍵が侵害されたことが判明しました」と説明しました。さらに、Polymarketはバックエンドサービスの秘密鍵をローテーションしており、今回のインシデントで影響を受けた可能性のある内部機密について調査を行っていると述べました。

4月にはPolymarketの取引高は90億ドルを超えていました。もしプラットフォームのスマートコントラクトに脆弱性が発見された場合、その性質によってはこれらの資金が危険にさらされる可能性があります。

それでも、Polymarketのエンジニアリング担当副社長であるジョシュ・スティーブンス氏は、状況についてより詳しく説明する短い事後分析レポートを発表した。

「6年前に作成された秘密鍵が侵害されました。これは内部のチャージ設定に含まれていたため、資金がそこに送金されていたのです。当方はこの鍵を更新し、すべての本番環境の権限を無効化しました。今後はすべての秘密鍵をKMS鍵に移行していきます」と述べ、秘密鍵が侵害されたとする以前の報告と一致する内容でした。

「PolymarketやUMAのコントラクトが悪用された事実はありません。ユーザーの資金はすべて安全であり、Polymarket.comの利用も安全ですので、通常通り業務を継続しています」と彼は締めくくりました。