Polymarket bestätigte am Donnerstag, dass ein kompromittierter Drittanbieter es Angreifern ermöglichte, bösartigen Code in das Frontend des Vorhersagemarktes einzuschleusen, wodurch Benutzergelder im Wert von rund 3 Millionen US-Dollar abgezogen wurden. Der Angriff zielte nicht auf die Smart Contracts von Polymarket ab, sondern lieferte über den kompromittierten Anbieter ein bösartiges Skript an die Browser einiger Benutzer aus, das auf deren Wallets zugriff und pUSD abzog, den USDC-gestützten Stablecoin der Plattform. Supply-Chain-Angriffe sind im Kryptobereich zu einem zunehmend attraktiven Vektor geworden, da sie den geprüften On-Chain-Code vollständig umgehen und stattdessen die Website-Ebene und externe Abhängigkeiten angreifen, die von Benutzern selten geprüft werden.
Angreifer injizierten bösartiges Skript über kompromittierten Anbieter
Der kompromittierte Anbieter lieferte ein bösartiges Skript an die Browser einiger Benutzer aus, das auf deren Wallets zugriff und pUSD abzog, den USDC-gestützten Stablecoin der Plattform, der zur Abwicklung aller Trades verwendet wird. Die Angreifer überbrückten dann die gestohlenen Gelder von Polygon nach Ethereum und tauschten sie in etwa 1.893 ETH um, wobei sie die Erlöse in einer einzigen Wallet konsolidierten. Da der bösartige Code auf der Website und nicht auf der Blockchain lebte, hatten betroffene Benutzer kaum eine Möglichkeit zu erkennen, dass die von ihnen vertraute Oberfläche manipuliert worden war. Polymarket lehnte es ab, den kompromittierten Anbieter zu nennen oder weitere Kommentare abzugeben.
Weniger als 15 Konten betroffen, vollständige Rückerstattungen zugesichert
On-Chain-Ermittler von Bubblemaps kamen zu dem Schluss, dass der Schaden weitgehend begrenzt war und weniger als 15 Benutzerkonten betroffen waren. Polymarket erklärte, dass es betroffene Kunden vollständig entschädigen werde, und bestätigte, dass das Frontend-Problem eingedämmt und die betroffene Abhängigkeit entfernt worden sei. Die begrenzte Anzahl von Konten deutet darauf hin, dass das bösartige Skript nur eine Teilmenge der Benutzer erreichte, bevor das Unternehmen es entdeckte und entfernte. Das Unternehmen erklärte in einem Beitrag, dass es den kompromittierten Drittanbieter am Morgen entdeckt und den Verstoß eingedämmt und die betroffene Abhängigkeit entfernt habe.
Zweiter Sicherheitsvorfall bei Polymarket innerhalb von zwei Monaten
Der Vorfall war der zweite bei Polymarket innerhalb von zwei Monaten. Im Mai führte ein Wallet-Exploit unter Verwendung kompromittierter Mitarbeiteranmeldedaten zu Verlusten in Höhe von rund 700.000 US-Dollar, die auf einen Kompromiss privater Schlüssel und nicht auf einen Website-Fehler zurückgeführt wurden. Zusammengenommen weisen die beiden Episoden eher auf operationelle und Drittanbieter-Risiken hin als auf Schwächen im zugrunde liegenden Protokoll. Frontend- und Supply-Chain-Angriffe umgehen geprüfte Smart Contracts vollständig, greifen die Website-Ebene und externe Abhängigkeiten an, die von Benutzern selten geprüft werden – ein Vektor, der zunehmend attraktiver wird, da On-Chain-Code selbst immer schwerer zu knacken ist.
FAQ
Was hat den Polymarket-Vorfall verursacht, bei dem Benutzergelder in Höhe von 3 Millionen US-Dollar abgezogen wurden?
Ein kompromittierter Drittanbieter ermöglichte es Angreifern, bösartigen Code in das Frontend von Polymarket einzuschleusen. Das bösartige Skript griff auf die Browser einiger Benutzer zu, zog pUSD von deren Wallets ab und wandelte die gestohlenen Gelder in rund 1.893 ETH um. Der Angriff zielte auf die Website-Ebene und nicht auf die Smart Contracts von Polymarket ab.
Wie viele Polymarket-Benutzer waren von dem Anbieter-Vorfall betroffen?
On-Chain-Ermittler von Bubblemaps stellten fest, dass weniger als 15 Konten von dem bösartigen Skript betroffen waren. Polymarket versprach, betroffene Kunden vollständig zu entschädigen, und bestätigte, dass das Frontend-Problem eingedämmt und die betroffene Abhängigkeit entfernt worden sei.
Gab es bei Polymarket in letzter Zeit andere Sicherheitsvorfälle?
Im Mai erlitt Polymarket einen separaten Wallet-Exploit unter Verwendung kompromittierter Mitarbeiteranmeldedaten, der zu Verlusten in Höhe von rund 700.000 US-Dollar führte. Dieser Vorfall wurde auf einen Kompromiss privater Schlüssel und nicht auf einen Website-Fehler zurückgeführt, was den Anbieter-Vorfall zum zweiten Sicherheitsvorfall bei Polymarket innerhalb von zwei Monaten macht.
