Polymarket Vendor Breach Drains $3M in User Funds via Malicious Code

Polymarket confirmó el jueves que un proveedor externo comprometido permitió a atacantes inyectar código malicioso en el front-end del mercado de predicciones, drenando aproximadamente 3 millones de dólares en fondos de usuarios. El ataque no tuvo como objetivo los contratos inteligentes de Polymarket, sino que sirvió un script malicioso a través del proveedor comprometido a los navegadores de algunos usuarios, accediendo a sus billeteras y drenando pUSD, la stablecoin respaldada por USDC de la plataforma. Los ataques a la cadena de suministro se han convertido en un vector cada vez más atractivo en cripto, ya que evitan por completo el código auditado en cadena, atacando la capa del sitio web y dependencias externas que los usuarios rara vez examinan.

Atacantes inyectaron script malicioso a través de un proveedor comprometido

El proveedor comprometido sirvió un script malicioso a los navegadores de algunos usuarios, accediendo a sus billeteras y drenando pUSD, la stablecoin respaldada por USDC de la plataforma utilizada para liquidar todas las operaciones. Luego, los atacantes puentearon los fondos robados de Polygon a Ethereum y los intercambiaron por aproximadamente 1.893 ETH, consolidando las ganancias en una sola billetera. Debido a que el código malicioso residía en el sitio web y no en la blockchain, los usuarios afectados tenían pocas formas de detectar que la interfaz en la que confiaban había sido manipulada. Polymarket se negó a nombrar al proveedor comprometido o a hacer más comentarios.

Menos de 15 cuentas afectadas, se prometió reembolso completo

Los investigadores en cadena de Bubblemaps concluyeron que el daño estuvo en gran medida contenido, con menos de 15 cuentas de usuarios afectadas. Polymarket dijo que reembolsaría a los clientes afectados en su totalidad y confirmó que el problema del front-end había sido contenido y la dependencia afectada eliminada. El número limitado de cuentas sugiere que el script malicioso solo alcanzó a un subconjunto de usuarios antes de que la empresa lo detectara y lo eliminara. La compañía declaró en una publicación que descubrió al proveedor externo comprometido esta mañana y que había contenido la violación y eliminado la dependencia afectada.

Segundo incidente de seguridad en Polymarket en dos meses

La violación fue la segunda de Polymarket en dos meses. En mayo, una explotación de billetera que involucró credenciales de empleados comprometidas provocó pérdidas de aproximadamente 700 mil dólares, atribuidas a un compromiso de clave privada en lugar de una falla del sitio web. En conjunto, los dos episodios apuntan a riesgos operativos y de terceros, más que a debilidades en el protocolo subyacente. Los ataques al front-end y a la cadena de suministro evitan por completo los contratos inteligentes auditados, atacando la capa del sitio web y las dependencias externas que los usuarios rara vez examinan, un vector que se ha convertido en un objetivo cada vez más atractivo a medida que el código en cadena se vuelve más difícil de vulnerar.

Preguntas frecuentes

¿Qué causó la violación de Polymarket que drenó 3 millones de dólares en fondos de usuarios?

Un proveedor externo comprometido permitió a los atacantes inyectar código malicioso en el front-end de Polymarket. El script malicioso accedió a los navegadores de algunos usuarios, drenó pUSD de sus billeteras y convirtió los fondos robados en aproximadamente 1.893 ETH. El ataque apuntó a la capa del sitio web, no a los contratos inteligentes de Polymarket.

¿Cuántos usuarios de Polymarket se vieron afectados por la violación del proveedor?

Los investigadores en cadena de Bubblemaps encontraron que menos de 15 cuentas se vieron afectadas por el script malicioso. Polymarket se comprometió a reembolsar a los clientes afectados en su totalidad y confirmó que el problema del front-end había sido contenido y la dependencia afectada eliminada.

¿Tuvo Polymarket otros incidentes de seguridad recientemente?

En mayo, Polymarket sufrió una explotación de billetera separada que involucró credenciales de empleados comprometidas, lo que provocó pérdidas de aproximadamente 700 mil dólares. Ese incidente se atribuyó a un compromiso de clave privada en lugar de una falla del sitio web, lo que convierte la violación del proveedor en el segundo incidente de seguridad de Polymarket en dos meses.