Kinumpirma ng Polymarket na ninakaw ng mga hacker ang $3 milyon mula sa mga user matapos ang paglabag sa isang third-party.

Isang Supply-Chain Attack, Hindi Direktang Paglabag

Ibinunyag ng Polymarket na ang pagkakakompromiso sa isa sa mga panlabas nitong provider ay nagbigay-daan sa mga umaatake na maipasok ang malisyosong code sa frontend nito para sa ilang user. Ang binagong script ang nagpatakbo ng isang phishing campaign na nangloko sa mga biktima upang aprubahan ang mapanlinlang na mga transaksyon, na pagkatapos ay nag-drain ng pondo mula sa kanilang mga nakakonektang wallet.

“Nakontrol na namin ang insidente,” sabi ng Polymarket, at idinagdag na inalis nito ang apektadong dependency at “nire-refund sila nang buo.” Binigyang-diin ng kumpanya na ang sarili nitong pangunahing imprastraktura at mga onchain market ay hindi nalabag, at ang mahinang kawing ay isang third-party na supplier na ang code ay naiserve sa pamamagitan ng website ng Polymarket.

Tinataya ng blockchain security firm na Peckshield ang mga pagkalugi sa humigit-kumulang $3 milyon na na-drain mula sa mahigit 11 biktima. Bukod dito, ang pag-atake ay isang klasikong supply-chain compromise, kung saan tinatarget ng mga kalaban ang isang pinagkakatiwalaang vendor upang maabot ang mas malaking platform sa halip na direktang atakihin ang mga sistema ng platform na iyon.

Dahil ang malisyosong code ay nasa frontend ng website sa halip na sa mga pinagbabatayang smart contract, tinamaan ng exploit ang layer na siyang aktuwal na ginagamit ng karamihan sa mga user. Ang mga bisitang nag-load ng nakompromisong pahina ay naudyukan na pumirma ng mga transaksyon na mukhang lehitimo ngunit sa halip ay nagbigay ng kontrol sa kanilang mga asset sa mga umaatake.

Sa kabuuan, ang mga pondong naka-lock sa mga onchain market ng Polymarket ay hindi kailanman direktang nalagay sa panganib, ngunit ang mga user na umapruba sa mga huwad na transaksyon ay nakita ang kanilang mga wallet na naubos.

Ano ang Susunod na Mangyayari

Sinabi ng Polymarket na kinokontak nito ang mga biktima nang paisa-isa habang mabilis nitong pinoproseso ang mga refund, at sinasalo ang gastos ng paglabag na nagmula sa labas ng sarili nitong mga pader (isang hakbang na malamang ay nakatuon sa pagpapanatili ng tiwala sa mabilis na lumalaking user base nito).

Bukod dito, ang paglabag ay dumarating sa panahong sumisigla ang prediction markets, kung saan ang Polymarket at karibal na Kalshi ay magkasamang nagtulak ng isang rekord na buwan noong Abril. Ang Polymarket lamang ay nakaproseso na ng mahigit 100 milyong trade hanggang sa kasalukuyan, na ginagawa itong isa sa pinaka-aktibong venue sa crypto.

Hindi nakaligtas sa mga tagamasid ang lawak ng paglago na ito, kaya kamakailan ay nag-deploy ang platform ng mga tool sa pagmamatyag ng Chainalysis upang subaybayan ang integridad ng merkado. Kasabay nito, siniyasat ng mga mambabatas sa U.S. ang prediction markets hinggil sa mga pananggalang laban sa insider trading, kung saan ang isang Republican na panukalang batas ay naghahangad na ipagbawal sa mga miyembro ng Kongreso at sa kanilang mga pamilya ang pagtaya sa mga kinalabasan ng mga patakaran.

Idinadagdag ng insidente noong Hunyo ang operasyonal na seguridad sa listahang iyon ng mga alalahanin. At bagama’t maaaring limitahan ng pangakong refund ang pinsala sa reputasyon, nananatili ang realidad na ang prediction markets, tulad ng mga exchange at DeFi protocol, ay tinitingnan na ngayon bilang kapaki-pakinabang na mga daanan para sa mga sopistikadong umaatake.