Nền tảng thị trường dự đoán Polymarket cho biết các tin tặc đã đánh cắp khoảng 3 triệu USD từ người dùng sau khi một nhà cung cấp bên thứ ba bị xâm nhập và mã độc được cấy vào trang web của họ. Vụ việc hiện đã được kiểm soát hoàn toàn, và quá trình hoàn trả toàn bộ số tiền cho những người dùng bị ảnh hưởng đang được tiến hành.
Polymarket xác nhận tin tặc đã chiếm đoạt 3 triệu USD từ người dùng sau vụ vi phạm an ninh từ bên thứ ba
TÁC GIẢ
CHIA SẺ
Điểm chính
Một cuộc tấn công chuỗi cung ứng, không phải vi phạm trực tiếp
Polymarket tiết lộ rằng việc một nhà cung cấp bên ngoài bị xâm nhập đã cho phép kẻ tấn công lồng ghép mã độc vào giao diện người dùng (frontend) của một số người dùng. Đoạn mã bị can thiệp này đã được sử dụng trong một chiến dịch lừa đảo, khiến các nạn nhân vô tình chấp thuận các giao dịch gian lận, từ đó làm cạn kiệt số tiền trong ví liên kết của họ.
"Chúng tôi đã kiểm soát được sự cố," Polymarket cho biết, đồng thời khẳng định đã loại bỏ thành phần phụ thuộc bị ảnh hưởng và đang "hoàn trả toàn bộ số tiền cho các nạn nhân." Công ty nhấn mạnh rằng cơ sở hạ tầng cốt lõi và các thị trường trên chuỗi của họ không bị xâm nhập, điểm yếu nằm ở nhà cung cấp bên thứ ba có mã nguồn được phân phối qua trang web của Polymarket.
Công ty an ninh blockchain Peckshield ước tính thiệt hại khoảng 3 triệu USD bị rút khỏi tài khoản của hơn 11 nạn nhân. Ngoài ra, cuộc tấn công này là một vụ xâm nhập chuỗi cung ứng điển hình, trong đó các đối tượng tấn công nhắm vào một nhà cung cấp đáng tin cậy để tiếp cận một nền tảng lớn hơn thay vì tấn công trực tiếp vào hệ thống của nền tảng đó.
Vì mã độc tồn tại ở phần frontend của trang web chứ không phải trong các hợp đồng thông minh cơ bản, lỗ hổng này đã tác động đến lớp mà hầu hết người dùng thực sự tương tác. Những người truy cập vào trang web bị xâm nhập đã được yêu cầu ký các giao dịch trông có vẻ hợp pháp, nhưng thực chất lại trao quyền kiểm soát tài sản của họ cho các kẻ tấn công.
Tóm lại, các khoản tiền bị khóa trong các thị trường trên chuỗi của Polymarket không bao giờ trực tiếp gặp rủi ro, nhưng những người dùng đã phê duyệt các giao dịch giả mạo đã bị rút sạch tiền trong ví.
Điều gì sẽ xảy ra tiếp theo
Polymarket cho biết họ đang liên hệ riêng với từng nạn nhân trong khi nhanh chóng xử lý việc hoàn tiền, tự chịu chi phí cho vụ vi phạm bắt nguồn từ bên ngoài hệ thống của mình (một động thái có thể nhằm duy trì niềm tin trong cộng đồng người dùng đang phát triển nhanh chóng).
Ngoài ra, vụ vi phạm này xảy ra vào thời điểm các thị trường dự đoán đang bùng nổ, với Polymarket và đối thủ Kalshi cùng nhau tạo ra một tháng kỷ lục vào tháng 4. Riêng Polymarket đã xử lý hơn 100 triệu giao dịch tính đến nay, khiến nó trở thành một trong những nền tảng sôi động nhất trong lĩnh vực tiền điện tử.
Quy mô tăng trưởng này không qua mắt các nhà quan sát, dẫn đến việc nền tảng này gần đây đã triển khai các công cụ giám sát của Chainalysis để theo dõi tính toàn vẹn của thị trường. Song song đó, các nhà lập pháp Mỹ đã điều tra các thị trường dự đoán về các biện pháp bảo vệ chống giao dịch nội gián, với một dự luật của đảng Cộng hòa nhằm cấm các thành viên Quốc hội và gia đình họ đặt cược vào kết quả chính sách.
Sự cố hồi tháng 6 đã thêm vấn đề an ninh vận hành vào danh sách những lo ngại đó. Và mặc dù cam kết hoàn tiền có thể hạn chế thiệt hại về danh tiếng, thực tế vẫn là các thị trường dự đoán, giống như các sàn giao dịch và giao thức DeFi, hiện đang được xem là những con đường sinh lợi cho những kẻ tấn công tinh vi.
Bài viết này được dịch từ tiếng Anh bằng AI. Phiên bản gốc bằng tiếng Anh là nguồn có thẩm quyền; các bản dịch tự động có thể chứa thông tin không chính xác, đặc biệt là trong thuật ngữ pháp lý và quy định.
