Polymarket potwierdza, że hakerzy wykradli użytkownikom 3 miliony dolarów w wyniku naruszenia bezpieczeństwa u podmiotu zewnętrznego

• </span></p>
• <p><span style="font-weight: 400;">Najważniejsze informacje: </span></p>
• <ul>
• <li><span style="font-weight: 400;">Polymarket poinformował, że hakerzy wykradli około 3 milionów dolarów od ponad 11 użytkowników za pośrednictwem zaatakowanego zewnętrznego dostawcy. </span></li>
• <li><span style="font-weight: 400;">Firma Peckshield ustaliła, że atak polegał na wykorzystaniu złośliwego kodu interfejsu użytkownika, który nakłaniał użytkowników do zatwierdzania fałszywych transakcji. </span></li>
• <li><span style="font-weight: 400;">Polymarket oświadczył, że zwraca ofiarom pełną kwotę, podczas gdy rynki prognoz podlegają coraz większej kontroli pod kątem bezpieczeństwa i zgodności z przepisami.</span></li>
• </ul>
• <p><span style="font-weight: 400;">

Atak na łańcuch dostaw, a nie bezpośrednie naruszenie bezpieczeństwa

Polymarket ujawnił, że naruszenie bezpieczeństwa u jednego z zewnętrznych dostawców umożliwiło atakującym wprowadzenie złośliwego kodu do interfejsu użytkownika niektórych użytkowników. Zmanipulowany skrypt zasilał kampanię phishingową, która nakłaniała ofiary do zatwierdzania fałszywych transakcji, co następnie doprowadziło do opróżnienia środków z ich podłączonych portfeli.

„Opanowaliśmy ten incydent” – poinformował Polymarket, dodając, że usunął zagrożoną zależność i „zwraca ofiarom pełną kwotę”. Firma podkreśliła, że jej własna podstawowa infrastruktura oraz rynki działające w łańcuchu bloków nie zostały naruszone, a słabym ogniwem był zewnętrzny dostawca, którego kod był udostępniany za pośrednictwem strony internetowej Polymarket.

Firma Peckshield zajmująca się bezpieczeństwem łańcucha bloków oszacowała straty na około 3 miliony dolarów, które zostały wyczerpane z kont ponad 11 ofiar. Ponadto atak ten był klasycznym przykładem naruszenia łańcucha dostaw, w którym przeciwnicy atakują zaufanego dostawcę, aby dotrzeć do większej platformy, zamiast atakować systemy tej platformy bezpośrednio.

Ponieważ złośliwy kod znajdował się w interfejsie użytkownika strony internetowej, a nie w leżących u jej podstaw inteligentnych kontraktach, exploit uderzył w warstwę, z którą faktycznie wchodzi w interakcję większość użytkowników. Odwiedzający, którzy załadowali zainfekowaną stronę, byli proszeni o podpisanie transakcji, które wyglądały na legalne, ale w rzeczywistości przekazywały kontrolę nad ich aktywami atakującym.

Podsumowując, środki zablokowane na rynkach łańcucha bloków Polymarket nigdy nie były bezpośrednio zagrożone, ale użytkownicy, którzy zatwierdzili sfałszowane transakcje, zostali pozbawieni środków ze swoich portfeli.

Co dalej

Polymarket poinformował, że kontaktuje się indywidualnie z ofiarami, szybko realizując zwroty środków i pokrywając koszty naruszenia, które miało swoje źródło poza własną organizacją (posunięcie to ma prawdopodobnie na celu zachowanie zaufania wśród szybko rosnącej bazy użytkowników).

Ponadto do naruszenia doszło w momencie, gdy rynki prognoz przeżywają boom, a Polymarket wraz z konkurencyjną platformą Kalshi przyczyniły się do rekordowego wyniku w kwietniu. Sama platforma Polymarket zrealizowała do tej pory ponad 100 milionów transakcji, co czyni ją jednym z najbardziej aktywnych rynków w branży kryptowalut.

Skala tego wzrostu nie umknęła uwadze obserwatorów, w wyniku czego platforma wdrożyła niedawno narzędzia monitorujące firmy Chainalysis w celu nadzorowania integralności rynku. Równolegle amerykańscy ustawodawcy zbadali rynki prognoz pod kątem zabezpieczeń przed wykorzystywaniem informacji poufnych, a jeden z republikańskich projektów ustaw ma na celu zakazanie członkom Kongresu i ich rodzinom obstawiania wyników politycznych.

Czerwcowy incydent dodaje kwestię bezpieczeństwa operacyjnego do tej listy obaw. I choć obietnica zwrotu środków może ograniczyć szkody wizerunkowe, faktem pozostaje, że rynki prognoz, podobnie jak giełdy i protokoły DeFi, są obecnie postrzegane jako lukratywne cele dla wyrafinowanych atakujących.