Prediksjonsmarkedsplattformen Polymarket opplyste at hackere stjal omtrent 3 millioner dollar fra brukere etter at en tredjepartsleverandør ble kompromittert og ondsinnet kode ble injisert på nettstedet. Hendelsen er siden blitt fullt ut begrenset, og refusjoner settes i gang i sin helhet for berørte brukere.
Polymarket bekrefter at hackere tappet brukere for 3 millioner dollar etter et tredjepartsbrudd
SKREVET AV
DEL
Viktige punkter
Et forsyningskjedeangrep, ikke et direkte innbrudd
Polymarket opplyste at et kompromiss hos en av deres eksterne leverandører gjorde det mulig for angripere å snike ondsinnet kode inn i frontend-en for noen brukere. Den manipulerte skripten drev en phishing-kampanje som lurte ofrene til å godkjenne falske transaksjoner, som deretter tappet midler fra deres tilkoblede lommebøker.
«Vi har begrenset hendelsen», sa Polymarket, og la til at det fjernet den berørte avhengigheten og «refunderer dem fullt ut». Selskapet understreket at deres egen kjerneinfrastruktur og onchain-markeder ikke ble brutt, og at det svake leddet var en tredjepartsleverandør hvis kode ble servert gjennom Polymarkets nettsted.
Blockchain-sikkerhetsselskapet Peckshield anslo tapene til omtrent 3 millioner dollar tappet fra mer enn 11 ofre. I tillegg var angrepet et klassisk forsyningskjede-kompromiss, der motstandere retter seg mot en betrodd leverandør for å nå en større plattform, i stedet for å angripe plattformens systemer direkte.
Fordi den ondsinnede koden lå i nettstedets frontend fremfor de underliggende smartkontraktene, traff utnyttelsen laget de fleste brukere faktisk samhandler med. Besøkende som lastet den kompromitterte siden ble bedt om å signere transaksjoner som så legitime ut, men som i stedet ga angriperne kontroll over eiendelene deres.
Kort sagt var midler låst i Polymarkets onchain-markeder aldri direkte i fare, men brukere som godkjente de forfalskede transaksjonene fikk lommebøkene sine tømt.
Hva skjer videre
Polymarket sa at det kontakter ofre individuelt mens det behandler refusjoner raskt, og tar kostnaden for et brudd som oppsto utenfor deres egne vegger (et grep som sannsynligvis er ment å bevare tilliten blant den raskt voksende brukerbasen).
I tillegg kommer bruddet på et tidspunkt der prediksjonsmarkeder boomer, med Polymarket og rivalen Kalshi som sammen driver en rekordmåned i april. Polymarket alene har behandlet mer enn 100 millioner handler til dags dato, noe som gjør det til en av de mest aktive arenaene i krypto.
Omfanget av denne veksten har ikke gått ubemerket hen for observatører, noe som har ført til at plattformen nylig tok i bruk Chainalysis-overvåkingsverktøy for å overvåke markedets integritet. Parallelt har amerikanske lovgivere gransket prediksjonsmarkeder for vern mot innsidehandel, der et republikansk lovforslag søker å forby medlemmer av Kongressen og deres familier å vedde på politiske utfall.
Hendelsen i juni føyer operasjonell sikkerhet til den listen over bekymringer. Og selv om løftet om refusjon kan begrense omdømmeskaden, gjenstår realiteten at prediksjonsmarkeder, på samme måte som børser og DeFi-protokoller, nå blir sett på som lukrative angrepsflater for sofistikerte angripere.
Denne artikkelen er oversatt fra engelsk ved hjelp av kunstig intelligens. Den originale engelske versjonen er den autoritative kilden; automatiske oversettelser kan inneholde unøyaktigheter, særlig i juridisk og regulatorisk terminologi.
