Platform pasaran ramalan Polymarket berkata penggodam mencuri kira-kira $3 juta daripada pengguna selepas vendor pihak ketiga dikompromi dan kod berniat jahat disuntik ke dalam laman webnya. Insiden itu sejak itu telah dibendung sepenuhnya, dan bayaran balik sedang dimulakan untuk pengguna yang terjejas sepenuhnya.
Polymarket Mengesahkan Penggodam Menguras $3 Juta Daripada Pengguna Selepas Pelanggaran Pihak Ketiga
DITULIS OLEH
KONGSI
Intipati Utama
Serangan Rantaian Bekalan, Bukan Pencerobohan Langsung
Polymarket mendedahkan bahawa kompromi di salah satu penyedia luarnya membolehkan penyerang menyelitkan kod berniat jahat ke dalam frontendnya untuk sesetengah pengguna. Skrip yang diubah suai itu menggerakkan kempen pancingan data yang memperdaya mangsa supaya meluluskan transaksi palsu, yang kemudian menguras dana daripada dompet mereka yang disambungkan.
“Kami telah membendung insiden itu,” kata Polymarket, sambil menambah bahawa ia telah membuang kebergantungan yang terjejas dan sedang “membayar balik mereka sepenuhnya.” Syarikat itu menegaskan bahawa infrastruktur terasnya sendiri dan pasaran onchain tidak dicerobohi, dengan pautan lemah adalah pembekal pihak ketiga yang kodnya dihidangkan melalui laman web Polymarket.
Firma keselamatan blockchain Peckshield menganggarkan kerugian sekitar $3 juta yang dikuras daripada lebih 11 mangsa. Selain itu, serangan itu merupakan kompromi rantaian bekalan klasik, di mana pihak lawan menyasarkan vendor yang dipercayai untuk mencapai platform yang lebih besar dan bukannya menyerang sistem platform tersebut secara langsung.
Oleh sebab kod berniat jahat itu berada dalam frontend laman web dan bukannya kontrak pintar yang mendasarinya, eksploit itu menjejaskan lapisan yang paling banyak pengguna berinteraksi dengannya. Pelawat yang memuatkan halaman yang dikompromi akan digesa menandatangani transaksi yang kelihatan sah tetapi sebenarnya menyerahkan kawalan aset mereka kepada penyerang.
Secara ringkas, dana yang dikunci dalam pasaran onchain Polymarket tidak pernah berisiko secara langsung, tetapi pengguna yang meluluskan transaksi tiruan itu melihat dompet mereka dikosongkan.
Apa yang Berlaku Seterusnya
Polymarket berkata ia menghubungi mangsa secara individu ketika ia memproses bayaran balik dengan pantas, menanggung kos pelanggaran yang berpunca di luar temboknya sendiri (langkah yang berkemungkinan bertujuan mengekalkan kepercayaan dalam kalangan pangkalan pengguna yang berkembang pesat).
Selain itu, pelanggaran itu berlaku ketika pasaran ramalan sedang meledak, dengan Polymarket dan pesaing Kalshi bersama-sama memacu bulan rekod pada April. Polymarket sahaja telah memproses lebih daripada 100 juta dagangan setakat ini, menjadikannya salah satu venue paling aktif dalam kripto.
Skala pertumbuhan ini tidak terlepas daripada perhatian pemerhati, menyebabkan platform itu baru-baru ini menggunakan alat pemantauan Chainalysis untuk memantau integriti pasaran. Pada masa yang sama, penggubal undang-undang A.S. telah menyiasat pasaran ramalan berkaitan perlindungan terhadap perdagangan orang dalam, dengan satu rang undang-undang Republikan berusaha untuk melarang ahli Kongres dan keluarga mereka daripada bertaruh terhadap hasil dasar.
Insiden Jun itu menambah aspek keselamatan operasi ke dalam senarai kebimbangan tersebut. Dan, walaupun janji bayaran balik mungkin mengehadkan kerosakan reputasi, hakikatnya kekal bahawa pasaran ramalan, sama seperti bursa dan protokol DeFi, kini dilihat sebagai laluan menguntungkan untuk penyerang yang canggih.
Artikel ini telah diterjemahkan daripada bahasa Inggeris menggunakan AI. Versi asal dalam bahasa Inggeris ialah sumber yang berwibawa; terjemahan automatik mungkin mengandungi ketidaktepatan, terutamanya dalam terminologi undang-undang dan kawal selia.
