Polymarketは、サードパーティの侵害後、ハッカーがユーザーから300万ドルを吸い上げたことを確認した。

予測市場プラットフォームPolymarketは、サードパーティベンダーが侵害され、悪意のあるコードがWebサイトに注入された後、ハッカーがユーザーから約300万ドルを盗んだと述べた。このインシデントはその後完全に封じ込められ、影響を受けたユーザーへの返金が全額開始されている。

• 重要なポイント：
• • Polymarketは、侵害されたサードパーティベンダーを介して、11人以上のユーザーから約300万ドルをハッカーが盗んだと述べた。
• • Peckshieldは、このエクスプロイトを、ユーザーをフィッシングして不正なトランザクションを承認させる悪意のあるフロントエンドコードに起因すると特定した。
• • Polymarketは、予測市場がセキュリティと規制の監視の高まりに直面する中、被害者に全額返金していると表明した。

サプライチェーン攻撃、直接の侵害ではない

Polymarketは、外部プロバイダーの1つでの侵害により、攻撃者が一部のユーザー向けのフロントエンドに悪意のあるコードを忍び込ませることを可能にしたと明らかにした。改ざんされたスクリプトは、被害者をだまして不正なトランザクションを承認させ、接続されたウォレットから資金を流出させるフィッシングキャンペーンを実行した。

「インシデントは封じ込めました」とPolymarketは述べ、影響を受けた依存関係を削除し、「全額返金しています」と付け加えた。同社は、自社のコアインフラストラクチャとオンチェーンマーケットは侵害されておらず、弱点はPolymarketのウェブサイトを通じてコードが提供されたサードパーティサプライヤーであったと強調した。

ブロックチェーンセキュリティ企業Peckshieldは、11人以上の被害者から約300万ドルが流出したと推定した。さらに、この攻撃は古典的なサプライチェーン侵害であり、攻撃者はプラットフォームのシステムに正面から攻撃するのではなく、信頼できるベンダーを標的にしてより大規模なプラットフォームに到達するものである。

画像ソース：X 悪意のあるコードは、基盤となるスマートコントラクトではなくウェブサイトのフロントエンドに存在していたため、このエクスプロイトはほとんどのユーザーが実際に操作するレイヤーを標的にした。侵害されたページを読み込んだ訪問者は、正当に見えるが実際には資産の管理権を攻撃者に渡すトランザクションへの署名を求められた。

要するに、Polymarketのオンチェーンマーケットにロックされた資金は直接危険にさらされることはなかったが、偽装されたトランザクションを承認したユーザーはウォレットを空にされた。

今後の展開

Polymarketは、迅速に返金処理を進めながら被害者に個別に連絡しており、自社の外部で発生した侵害のコストを負担している（これは急速に成長するユーザーベースの信頼を維持することを目的とした措置と思われる）。

さらに、この侵害は予測市場が好況を迎えている時期に発生しており、PolymarketとライバルのKalshiが共同で4月に記録的な月を牽引した。Polymarketだけでもこれまでに1億以上の取引を処理しており、暗号資産分野で最も活発な場の1つとなっている。

この成長の規模は観測者たちの目に留まらず、プラットフォームは最近、市場の整合性を監視するためにChainalysisの監視ツールを導入した。同時に、米国の立法者はインサイダー取引防止策について予測市場を調査しており、共和党の法案の1つは、議員とその家族が政策結果に賭けることを禁止しようとしている。

6月のインシデントは、その懸念事項リストに運用セキュリティを追加する。そして、返金の約束が風評被害を制限するかもしれないが、実際には、予測市場は取引所やDeFiプロトコルと同様に、高度な攻撃者にとって有利な手段と見なされるようになっているという現実が残っている。