Взлом вендора Polymarket вывел $3M пользовательских средств через вредоносный код

Polymarket подтвердила в четверг, что скомпрометированный сторонний поставщик позволил злоумышленникам внедрить вредоносный код во фронтенд платформы для прогнозирования, что привело к краже примерно 3 миллионов долларов пользовательских средств. Атака не была направлена на смарт-контракты Polymarket, а вместо этого через скомпрометированного поставщика был внедрён вредоносный скрипт в браузеры некоторых пользователей, получивший доступ к их кошелькам и выведший pUSD — стейблкоин платформы, обеспеченный USDC. Атаки на цепочку поставок становятся всё более привлекательным вектором в криптовалютах, поскольку они полностью обходят проверенный ончейн-код, поражая веб-уровень и внешние зависимости, которые пользователи редко проверяют.

Злоумышленники внедрили вредоносный скрипт через скомпрометированного поставщика

Скомпрометированный поставщик обслуживал вредоносный скрипт в браузерах некоторых пользователей, который получал доступ к их кошелькам и выводил pUSD — стейблкоин платформы, обеспеченный USDC, используемый для расчётов по всем сделкам. Затем злоумышленники перевели украденные средства из Polygon в Ethereum и обменяли их примерно на 1 893 ETH, консолидировав выручку в одном кошельке. Поскольку вредоносный код находился на сайте, а не в блокчейне, пострадавшие пользователи почти не имели возможности обнаружить, что доверенный ими интерфейс был взломан. Polymarket отказалась назвать скомпрометированного поставщика или давать дальнейшие комментарии.

Пострадало менее 15 аккаунтов, обещаны полные возвраты средств

Ончейн-исследователи из Bubblemaps пришли к выводу, что ущерб был в значительной степени локализован: пострадало менее 15 пользовательских аккаунтов. Polymarket заявила, что полностью возместит убытки пострадавшим клиентам, и подтвердила, что проблема с фронтендом была устранена, а уязвимая зависимость удалена. Ограниченное количество аккаунтов позволяет предположить, что вредоносный скрипт коснулся лишь части пользователей до того, как компания обнаружила и удалила его. В своём сообщении компания заявила, что обнаружила скомпрометированного стороннего поставщика сегодня утром, локализовала взлом и удалила уязвимую зависимость.

Второй взлом Polymarket за два месяца

Этот взлом стал вторым для Polymarket за два месяца. В мае уязвимость кошелька, связанная с скомпрометированными учётными данными сотрудника, привела к потерям в размере около 700 тыс. долларов, что было связано с компрометацией закрытого ключа, а не с ошибкой на сайте. Вместе эти два инцидента указывают на операционные риски и риски, связанные с третьими сторонами, а не на слабые места в базовом протоколе. Атаки на фронтенд и цепочку поставок полностью обходят проверенные смарт-контракты, поражая веб-уровень и внешние зависимости, которые пользователи редко проверяют, — вектор, который становится всё более привлекательной мишенью, поскольку сам ончейн-код становится всё сложнее взломать.

FAQ

Что стало причиной взлома Polymarket, в результате которого было украдено 3 миллиона долларов пользовательских средств?

Скомпрометированный сторонний поставщик позволил злоумышленникам внедрить вредоносный код во фронтенд Polymarket. Вредоносный скрипт получил доступ к браузерам некоторых пользователей, вывел pUSD из их кошельков и конвертировал украденные средства примерно в 1 893 ETH. Атака была нацелена на веб-уровень, а не на смарт-контракты Polymarket.

Сколько пользователей Polymarket пострадало от взлома через поставщика?

Ончейн-исследователи из Bubblemaps выяснили, что вредоносный скрипт затронул менее 15 аккаунтов. Polymarket пообещала полностью возместить убытки пострадавшим клиентам и подтвердила, что проблема с фронтендом устранена, а уязвимая зависимость удалена.

Были ли у Polymarket другие инциденты безопасности в последнее время?

В мае Polymarket пострадала от отдельной уязвимости кошелька, связанной с скомпрометированными учётными данными сотрудника, что привело к потерям в размере около 700 тыс. долларов. Этот инцидент был связан с компрометацией закрытого ключа, а не с ошибкой на сайте, что делает взлом через поставщика вторым инцидентом безопасности Polymarket за два месяца.