แพลตฟอร์มตลาดพยากรณ์ Polymarket ระบุว่าแฮกเกอร์ขโมยเงินจากผู้ใช้ไปราว 3 ล้านดอลลาร์ หลังผู้ให้บริการบุคคลที่สามรายหนึ่งถูกเจาะและมีการฝังโค้ดอันตรายลงในเว็บไซต์ของบริษัท เหตุการณ์ดังกล่าวได้ถูกควบคุมได้ทั้งหมดแล้ว และกำลังเริ่มดำเนินการคืนเงินให้ผู้ใช้ที่ได้รับผลกระทบเต็มจำนวน
Polymarket ยืนยันว่าแฮกเกอร์ดูดเงิน 3 ล้านดอลลาร์จากผู้ใช้งาน หลังเกิดการละเมิดความปลอดภัยจากบุคคลที่สาม
เขียนโดย
แชร์
ประเด็นสำคัญ
การโจมตีแบบซัพพลายเชน ไม่ใช่การเจาะระบบโดยตรง
Polymarket เปิดเผยว่าการถูกเจาะที่ผู้ให้บริการภายนอกรายหนึ่ง ทำให้ผู้โจมตีสามารถสอดแทรกโค้ดอันตรายเข้าไปในฝั่งหน้าเว็บของบางผู้ใช้ได้ สคริปต์ที่ถูกแก้ไขนี้เป็นตัวขับเคลื่อนแคมเปญฟิชชิงที่หลอกเหยื่อให้อนุมัติธุรกรรมฉ้อโกง ก่อนจะดูดเงินออกจากกระเป๋าเงินที่เชื่อมต่อของพวกเขา
“เราได้ควบคุมเหตุการณ์นี้ไว้แล้ว” Polymarket กล่าว พร้อมเสริมว่าได้ลบ dependency ที่ได้รับผลกระทบออก และกำลัง “คืนเงินให้พวกเขาเต็มจำนวน” บริษัทเน้นย้ำว่าโครงสร้างพื้นฐานหลักของตนเองและตลาด onchain ไม่ได้ถูกเจาะ โดยจุดอ่อนอยู่ที่ซัพพลายเออร์บุคคลที่สามซึ่งมีการเสิร์ฟโค้ดผ่านเว็บไซต์ของ Polymarket
บริษัทความปลอดภัยบล็อกเชน Peckshield ประเมินความเสียหายไว้ราว 3 ล้านดอลลาร์ ที่ถูกดูดออกจากเหยื่อมากกว่า 11 ราย นอกจากนี้ การโจมตีดังกล่าวเป็นการโจมตีแบบซัพพลายเชนคลาสสิก ซึ่งผู้ไม่หวังดีจะโจมตีผู้ขายที่ได้รับความเชื่อถือเพื่อเข้าถึงแพลตฟอร์มที่ใหญ่กว่า แทนที่จะโจมตีระบบของแพลตฟอร์มนั้นโดยตรง
เนื่องจากโค้ดอันตรายอยู่ในส่วนหน้าเว็บของเว็บไซต์ ไม่ใช่ในสมาร์ตคอนแทรกต์เบื้องหลัง การโจมตีจึงกระทบชั้นที่ผู้ใช้ส่วนใหญ่โต้ตอบด้วยจริง ๆ ผู้เข้าชมที่โหลดหน้าที่ถูกฝังโค้ดอันตรายจะถูกกระตุ้นให้ลงนามธุรกรรมที่ดูเหมือนถูกต้อง แต่แท้จริงแล้วเป็นการมอบการควบคุมสินทรัพย์ให้กับผู้โจมตี
โดยสรุป เงินที่ถูกล็อกไว้ในตลาด onchain ของ Polymarket ไม่เคยตกอยู่ในความเสี่ยงโดยตรง แต่ผู้ใช้ที่อนุมัติธุรกรรมปลอมดังกล่าวกลับพบว่ากระเป๋าเงินของตนถูกล้างจนหมด
จะเกิดอะไรขึ้นต่อไป
Polymarket ระบุว่ากำลังติดต่อเหยื่อเป็นรายบุคคล ขณะที่ดำเนินการคืนเงินอย่างรวดเร็ว โดยรับภาระค่าเสียหายจากการละเมิดที่มีต้นตอมาจากภายนอกกำแพงของตนเอง (ซึ่งน่าจะเป็นการเคลื่อนไหวเพื่อรักษาความเชื่อมั่นในหมู่ฐานผู้ใช้ที่เติบโตอย่างรวดเร็ว)
นอกจากนี้ การละเมิดดังกล่าวเกิดขึ้นในช่วงที่ตลาดพยากรณ์กำลังเติบโตอย่างมาก โดย Polymarket และคู่แข่งอย่าง Kalshi ร่วมกันขับเคลื่อนให้เกิด เดือนที่ทำสถิติ ในเดือนเมษายน ทั้งนี้ Polymarket เพียงรายเดียวได้ประมวลผลการเทรดมากกว่า 100 ล้านรายการแล้วจนถึงปัจจุบัน ทำให้เป็นหนึ่งในแพลตฟอร์มที่คึกคักที่สุดในคริปโต
ขนาดการเติบโตนี้ไม่ได้หลุดรอดสายตาผู้สังเกตการณ์ ส่งผลให้แพลตฟอร์มเพิ่งนำ เครื่องมือเฝ้าระวังของ Chainalysis มาใช้เพื่อตรวจติดตามความถูกต้องเที่ยงธรรมของตลาด ขณะเดียวกัน สมาชิกสภานิติบัญญัติสหรัฐฯ ได้ตรวจสอบตลาดพยากรณ์ในประเด็นมาตรการป้องกันการซื้อขายโดยใช้ข้อมูลภายใน โดยร่างกฎหมายของพรรครีพับลิกันฉบับหนึ่งต้องการ ห้ามสมาชิกสภาคองเกรส และครอบครัวของพวกเขาวางเดิมพันกับผลลัพธ์ด้านนโยบาย
เหตุการณ์ในเดือนมิถุนายนเพิ่มประเด็นความปลอดภัยเชิงปฏิบัติการเข้าไปในรายการความกังวลนั้น และแม้คำมั่นการคืนเงินอาจช่วยจำกัดความเสียหายต่อชื่อเสียงได้ แต่ความจริงยังคงอยู่ว่า ตลาดพยากรณ์ก็เหมือนกับตลาดแลกเปลี่ยนและโปรโตคอล DeFi ที่ตอนนี้กำลังถูกมองว่าเป็นช่องทางทำเงินที่น่าดึงดูดสำหรับผู้โจมตีที่มีความซับซ้อน
บทความนี้แปลจากภาษาอังกฤษโดยใช้ AI เวอร์ชันภาษาอังกฤษต้นฉบับเป็นแหล่งข้อมูลที่เชื่อถือได้ การแปลอัตโนมัติอาจมีความไม่ถูกต้อง โดยเฉพาะอย่างยิ่งในคำศัพท์ทางกฎหมายและข้อบังคับ
