Badacz technologii blockchain ZachXBT jako pierwszy zwrócił uwagę na możliwe włamanie, wskazując, że do tej pory wyprowadzono 520 tys. dolarów. Polymarket potwierdził ten incydent i podkreślił, że podejmuje odpowiednie działania w związku z naruszeniem bezpieczeństwa rzekomego klucza prywatnego, zapewniając jednocześnie, że środki użytkowników są bezpieczne.
Polymarket poniósł straty w wysokości 700 tys. dolarów w wyniku naruszenia bezpieczeństwa wewnętrznego portfela administracyjnego
NAPISAŁ
UDOSTĘPNIJ
Najważniejsze wnioski
- Hakerzy wyprowadzili 700 tys. dolarów w POL z Polymarket po przejęciu 6-letniego wewnętrznego klucza prywatnego.
- ZachXBT ostrzegł użytkowników, ale Polymarket potwierdził, że wszystkie środki użytkowników pozostają w pełni bezpieczne.
- Aby zapobiec kolejnym incydentom, Polymarket przeniesie wszystkie klucze prywatne do KMS.
Polymarket boryka się z incydentem związanym z bezpieczeństwem: środki użytkowników nie ucierpiały
Polymarket, jeden z największych rynków prognoz na świecie, doświadczył incydentu związanego z bezpieczeństwem, który zaalarmował społeczność platformy.
W piątek badacz blockchain ZachXBT zwrócił uwagę na możliwe naruszenie adresu administratora platformy na Polygon, zauważając, że znaczna część środków została już wypłacona.
Według serwisu Bubblemaps atakujący wypłacali 5 000 POL co 30 sekund, rozdzielając środki na 16 adresów, w tym scentralizowane giełdy i inne serwisy. W momencie pisania tego artykułu doniesienia wskazywały, że straty wyniosły 700 000 dolarów.
Platforma potwierdziła później incydent związany z bezpieczeństwem, a Shantikiran Chanal z Polymarket stwierdził, że są „świadomi raportów dotyczących bezpieczeństwa związanych z wypłatą nagród”, ale zapewnił, że środki użytkowników i funkcje rozliczeniowe rynku są bezpieczne.
„Ustalenia wskazują na naruszenie klucza prywatnego portfela używanego do operacji wewnętrznych, a nie kontraktów czy podstawowej infrastruktury” – sprecyzował. Ponadto wyjaśnił, że Polymarket rotuje swoje klucze prywatne dla usług zaplecza i prowadzi dochodzenie w sprawie wszelkich tajemnic wewnętrznych, które mogły zostać naruszone w wyniku tego incydentu.
W kwietniu Polymarket osiągnął wolumen obrotu przekraczający 9 miliardów. Wykorzystanie luki w kontraktach platformy, w zależności od jej charakteru, mogłoby narazić te środki na niebezpieczeństwo.
Niemniej jednak Josh Stevens, wiceprezes ds. inżynierii w Polymarket, przedstawił krótki raport podsumowujący, rzucający więcej światła na sytuację.
„Mieliśmy 6-letni klucz prywatny, który został naruszony. Znajdował się on w wewnętrznej konfiguracji doładowań, dlatego środki były na niego wysyłane. Wymieniliśmy ten klucz, cofnęliśmy wszystkie uprawnienia produkcyjne i od tej pory przenosimy wszystkie klucze prywatne do kluczy KMS” – oświadczył, co pokrywa się z wcześniejszymi doniesieniami wskazującymi na naruszenie klucza prywatnego.
„Żadne kontrakty Polymarket ani UMA nie zostały wykorzystane. Wszystkie środki użytkowników są bezpieczne, a korzystanie z Polymarket.com jest bezpieczne, więc wszystko działa jak zwykle” – podsumował.
