Spoločnosť Polymarket potvrdila, že hackeri odcudzili používateľom 3 milióny dolárov v dôsledku narušenia bezpečnosti u tretej strany

• </span></p>
• <p><span style="font-weight: 400;">Kľúčové body: </span></p>
• <ul>
• <li><span style="font-weight: 400;">Spoločnosť Polymarket uviedla, že hackeri ukradli približne 3 milióny dolárov od viac ako 11 používateľov prostredníctvom napadnutého externého dodávateľa. </span></li>
• <li><span style="font-weight: 400;">Spoločnosť Peckshield zistila, že za útokom stál škodlivý frontendový kód, ktorý podvodom prinútil používateľov schváliť podvodné transakcie. </span></li>
• <li><span style="font-weight: 400;">Spoločnosť Polymarket uviedla, že obetiam vráti peniaze v plnej výške, pričom predikčné trhy čelia rastúcemu bezpečnostnému a regulačnému dohľadu.</span></li>
• </ul>
• <p><span style="font-weight: 400;">

Útok na dodávateľský reťazec, nie priame narušenie bezpečnosti

Spoločnosť Polymarket zverejnila, že kompromitácia u jedného z jej externých poskytovateľov umožnila útočníkom vpašovať škodlivý kód do jej frontendu pre niektorých používateľov. Manipulovaný skript poháňal phishingovú kampaň, ktorá podvodom prinútila obete schváliť podvodné transakcie, čím sa následne vyprázdnili prostriedky z ich pripojených peňaženiek.

„Incident sme zvládli,“ uviedol Polymarket a dodal, že odstránil postihnutú závislosť a „vráti im peniaze v plnej výške“. Spoločnosť zdôraznila, že jej vlastná základná infraštruktúra a trhy na reťazci neboli narušené, pričom slabým článkom bol externý dodávateľ, ktorého kód bol poskytovaný prostredníctvom webovej stránky Polymarketu.

Spoločnosť Peckshield, ktorá sa zaoberá bezpečnosťou blockchainu, odhadla straty na približne 3 milióny dolárov, ktoré boli odcudzené viac ako 11 obetiam. Okrem toho išlo o klasický útok na dodávateľský reťazec, pri ktorom útočníci cielia na dôveryhodného dodávateľa, aby sa dostali k väčšej platforme, namiesto toho, aby priamo útočili na systémy tejto platformy.

Keďže sa škodlivý kód nachádzal vo frontende webovej stránky a nie v samotných inteligentných zmluvách, exploit zasiahol vrstvu, s ktorou väčšina používateľov skutočne interaguje. Návštevníci, ktorí načítali kompromitovanú stránku, boli vyzvaní na podpísanie transakcií, ktoré vyzerali legitímne, avšak namiesto toho odovzdali kontrolu nad svojimi aktívami útočníkom.

Zhrnuté, prostriedky uzamknuté na on-chain trhoch Polymarketu nikdy neboli priamo ohrozené, avšak používateľom, ktorí schválili falošné transakcie, boli peňaženky vyprázdnené.

Čo bude ďalej

Spoločnosť Polymarket uviedla, že individuálne kontaktuje obete a rýchlo spracováva vrátenie prostriedkov, pričom znáša náklady na útok, ktorý vznikol mimo jej vlastných štruktúr (tento krok je pravdepodobne zameraný na zachovanie dôvery medzi jej rýchlo rastúcou užívateľskou základňou).

Okrem toho k tomuto narušeniu bezpečnosti došlo v čase, keď predikčné trhy prežívajú boom, pričom Polymarket a jeho konkurent Kalshi spoločne dosiahli v apríli rekordný mesiac. Samotný Polymarket doteraz spracoval viac ako 100 miliónov obchodov, čím sa stal jedným z najaktívnejších miest v krypto svete.

Rozsah tohto rastu neunikol pozornosti pozorovateľov, čo viedlo k tomu, že platforma nedávno nasadila monitorovacie nástroje Chainalysis na sledovanie integrity trhu. Súbežne s tým sa americkí zákonodarcovia zaoberali predikčnými trhmi v súvislosti s opatreniami proti obchodovaniu s využitím dôverných informácií, pričom jeden republikánsky návrh zákona sa snaží zakázať členom Kongresu a ich rodinám staviť na výsledky politických rozhodnutí.

Júnový incident pridáva k tomuto zoznamu obáv aj otázku prevádzkovej bezpečnosti. A hoci sľub o vrátení prostriedkov môže obmedziť poškodenie reputácie, skutočnosťou zostáva, že predikčné trhy, podobne ako burzy a protokoly DeFi, sú v súčasnosti vnímané ako lukratívne ciele pre sofistikovaných útočníkov.