Компанія Polymarket підтвердила, що хакери вивели 3 мільйони доларів з рахунків користувачів після зломu стороннього сервісу

• </span></p>
• <p><span style="font-weight: 400;">Основні висновки: </span></p>
• <ul>
• <li><span style="font-weight: 400;">Polymarket повідомила, що хакери викрали близько 3 мільйонів доларів у понад 11 користувачів через зламаного стороннього постачальника. </span></li>
• <li><span style="font-weight: 400;">Компанія Peckshield встановила, що експлойт був пов’язаний зі шкідливим кодом інтерфейсу, який спонукав користувачів схвалити шахрайські транзакції. </span></li>
• <li><span style="font-weight: 400;">Polymarket заявила, що повністю відшкодовує збитки потерпілим, оскільки ринки прогнозів стикаються зі зростаючим контролем з боку органів безпеки та регуляторних органів.</span></li>
• </ul>
• <p><span style="font-weight: 400;">

Атака на ланцюжок постачання, а не прямий злом

Polymarket повідомила, що компрометація одного з її зовнішніх постачальників дозволила зловмисникам підмішати шкідливий код у її інтерфейс для деяких користувачів. Сфальсифікований скрипт став основою фішингової кампанії, яка змушувала жертв затверджувати шахрайські транзакції, що потім призводило до виведення коштів з їхніх підключених гаманців.

«Ми локалізували інцидент», — заявила Polymarket, додавши, що видалила уражену залежність і «повністю відшкодовує збитки». Компанія підкреслила, що її власна основна інфраструктура та ринки на блокчейні не зазнали порушення; слабким ланцюгом став сторонній постачальник, код якого надавався через веб-сайт Polymarket.

Компанія Peckshield, що спеціалізується на безпеці блокчейнів, оцінила збитки приблизно в 3 мільйони доларів, викрадених у понад 11 жертв. Крім того, ця атака була класичним прикладом компрометації ланцюга поставок, коли зловмисники націлюються на надійного постачальника, щоб дістатися до більшої платформи, замість того, щоб атакувати системи цієї платформи безпосередньо.

Оскільки шкідливий код містився у фронтенді веб-сайту, а не в базових смарт-контрактах, експлойт вразив саме той рівень, з яким фактично взаємодіють більшість користувачів. Відвідувачам, які завантажували скомпрометовану сторінку, пропонувалося підписати транзакції, що виглядали законними, але насправді передавали контроль над їхніми активами зловмисникам.

Підсумовуючи, кошти, заблоковані на ончейн-ринках Polymarket, ніколи не були безпосередньо під загрозою, але гаманці користувачів, які затвердили підроблені транзакції, були спустошені.

Що буде далі

Polymarket повідомив, що зв’язується з потерпілими індивідуально, оперативно обробляючи відшкодування та беручи на себе витрати, пов’язані з інцидентом, що виник поза межами компанії (такий крок, ймовірно, спрямований на збереження довіри серед швидко зростаючої бази користувачів).

Крім того, злом стався в той час, коли ринки прогнозів переживають бум: Polymarket та його конкурент Kalshi разом забезпечили рекордний місяць у квітні. Тільки Polymarket на сьогоднішній день обробив понад 100 мільйонів угод, що робить його одним із найактивніших майданчиків у криптосфері.

Масштаби цього зростання не залишилися непоміченими спостерігачами, що змусило платформу нещодавно впровадити інструменти моніторингу Chainalysis для контролю за цілісністю ринку. Паралельно з цим американські законодавці досліджують ринки прогнозів з точки зору заходів захисту від інсайдерської торгівлі, причому один із законопроектів республіканців має на меті заборонити членам Конгресу та їхнім сім’ям робити ставки на результати політичних рішень.

Інцидент, що стався в червні, додає до цього переліку проблем ще й питання операційної безпеки. І хоча обіцянка повернути кошти може обмежити шкоду для репутації, реальність залишається такою, що ринки прогнозів, подібно до бірж та протоколів DeFi, зараз розглядаються як прибуткові цілі для досвідчених зловмисників.