Polymarket підтверджує, що хакери викрали $3 мільйони у користувачів після злому третьої сторони

Платформа прогнозних ринків Polymarket заявила, що хакери викрали приблизно 3 мільйони доларів у користувачів після компрометації стороннього постачальника та впровадження шкідливого коду на її вебсайт. Інцидент вже повністю локалізовано, і постраждалим користувачам розпочинаються повні виплати.

• Ключові висновки:
• • Polymarket заявила, що хакери викрали близько 3 мільйонів доларів у понад 11 користувачів через скомпрометованого стороннього постачальника.
• • Peckshield простежила експлойт до шкідливого фронтенд-коду, який фішингував користувачів, змушуючи їх погоджуватися на шахрайські транзакції.
• • Polymarket заявила, що повністю відшкодовує збитки постраждалим, оскільки прогнозні ринки стикаються з посиленням регуляторного та безпекового контролю.

Атака на ланцюг постачання, а не прямий злом

Polymarket повідомила, що компрометація одного з її зовнішніх постачальників дозволила зловмисникам вставити шкідливий код у її фронтенд для деяких користувачів. Змінений скрипт запустив фішингову кампанію, яка обманом змусила жертв підтвердити шахрайські транзакції, що призвело до виведення коштів з їхніх підключених гаманців.

«Ми локалізували інцидент», — заявили в Polymarket, додавши, що видалили скомпрометовану залежність і «повністю відшкодовують збитки». Компанія підкреслила, що її власна основна інфраструктура та ончейн-ринки не були зламані, слабким місцем став сторонній постачальник, чий код передавався через вебсайт Polymarket.

Компанія з безпеки блокчейну Peckshield оцінила збитки приблизно в 3 мільйони доларів, виведених у понад 11 жертв. Крім того, атака була класичною компрометацією ланцюга постачання, коли супротивники атакують довіреного постачальника, щоб дістатися до більшої платформи, замість того, щоб атакувати системи цієї платформи безпосередньо.

Джерело зображення: X Оскільки шкідливий код знаходився у фронтенді вебсайту, а не в базових смарт-контрактах, експлойт вразив той шар, з яким фактично взаємодіють більшість користувачів. Відвідувачі, які завантажили скомпрометовану сторінку, отримували запит на підписання транзакцій, які виглядали легітимними, але натомість передавали контроль над їхніми активами зловмисникам.

Таким чином, кошти, заблоковані на ончейн-ринках Polymarket, ніколи не були під прямим ризиком, але користувачі, які підтвердили підроблені транзакції, побачили, як їхні гаманці спорожніли.

Що далі

Polymarket заявила, що зв'язується з постраждалими індивідуально, швидко обробляючи відшкодування та беручи на себе витрати від злому, який стався за межами її власних систем (крок, спрямований, ймовірно, на збереження довіри серед її швидкозростаючої бази користувачів).

Крім того, злом стався в той час, коли прогнозні ринки переживають бум: Polymarket та її конкурент Kalshi разом забезпечили рекордний місяць у квітні. Лише Polymarket на сьогодні обробила понад 100 мільйонів угод, що робить її одним із найактивніших майданчиків у криптовалюті.

Масштаб цього зростання не залишився непоміченим спостерігачами, в результаті чого платформа нещодавно впровадила засоби моніторингу Chainalysis для контролю цілісності ринку. Водночас законодавці США вивчають прогнозні ринки на предмет захисту від інсайдерської торгівлі, а один республіканський законопроєкт намагається заборонити членам Конгресу та їхнім родинам робити ставки на політичні результати.

Інцидент у червні додає операційну безпеку до цього списку проблем. І хоча обіцянка відшкодування може обмежити репутаційні збитки, реальність залишається такою: прогнозні ринки, як і біржі та DeFi-протоколи, тепер розглядаються як прибуткові напрями для досвідчених зловмисників.