Polymarket ofiarą kradzieży 2,9 mln dolarów, zatwierdzono plan zwrotu środków dla użytkowników

Atakujący wykorzystali kompromitację zewnętrznego dostawcy, aby wstrzyknąć złośliwy kod do frontendu Polymarket, wywołując przepływ phishingowy, który ostatecznie opróżnił środki z co najmniej 11 portfeli użytkowników – poinformował analityk blockchain Specter. Specter oszacował skradzioną kwotę na 2,94 miliona dolarów, powołując się na aktywność powiązaną z naruszonym interfejsem użytkownika.

Polymarket poinformował, że opanował incydent, usunął zagrożoną zależność i w pełni zwróci środki poszkodowanym użytkownikom. Sprawa wpisuje się w szerszy trend bezpieczeństwa odnotowany przez DefiLlama, który informuje, że bieżący kwartał jest już rekordzistą pod względem liczby incydentów hakerskich.

Najważniejsze wnioski

• Specter przypisał incydent Polymarket kompromitacji zewnętrznego dostawcy, która umożliwiła wstrzyknięcie złośliwego skryptu do frontendu platformy.
• Mechanizm phishingowy doprowadził podobno do opróżnienia szacunkowo 2,94 miliona dolarów z co najmniej 11 portfeli użytkowników Polymarket.
• Polymarket twierdzi, że opanowanie sytuacji jest zakończone, zagrożona zależność została usunięta, a użytkownicy otrzymają pełny zwrot środków.
• Dane DefiLlama pokazują, że naruszenia bezpieczeństwa kryptowalut w drugim kwartale osiągnęły rekordowe tempo, a czerwcowe sumy wzrosły do 74,9 miliona dolarów w ramach 29 zgłoszonych incydentów.
• W ciągu ostatnich 30 dni DefiLlama raportuje, że kompromitacje kluczy prywatnych stanowią największy udział strat (43%), po których następują exploity „fałszywych dowodów" (10%) i odwrócone honeypoty MEV (8%).

Jak doszło do kompromitacji frontendu Polymarket

Według Spectera atakujący wykorzystali naruszenie zewnętrznego dostawcy, aby wprowadzić złośliwe skrypty do środowiska strony internetowej Polymarket. Specter stwierdził, że wstrzyknięty kod wydawał się zaprojektowany w celu wsparcia ataku phishingowego – co oznacza, że użytkownicy mogli zostać nakłonieni do podpisania lub zatwierdzenia działań, które przelewały środki zamiast realizować zamierzoną transakcję.

Analiza Spectera oszacowała kradzież na około 2,94 miliona dolarów, dotykając co najmniej 11 portfeli użytkowników Polymarket. Liczba ta opiera się na zaobserwowanej aktywności opróżniania powiązanej ze wzorcem phishingowym opisanym przez Spectera.

Polymarket odpowiedział publicznie na platformie X, stwierdzając, że zidentyfikował i opanował kompromitację, usunął zagrożoną zależność oraz potwierdził, że poszkodowani użytkownicy otrzymają pełny zwrot środków. Cointelegraph zwrócił się o dodatkowy komentarz do Polymarket, ale nie otrzymał odpowiedzi przed publikacją.

Straty z exploitów w czerwcu rosną – wciąż poniżej szczytu z kwietnia

Choć sprawa Polymarket jest godnym uwagi incydentem, wpisuje się w szerszą falę aktywności exploitów. Dane DefiLlama przytoczone w raporcie pokazują, że straty z exploitów kryptowalutowych w czerwcu osiągnęły 74,9 miliona dolarów w ramach 29 zgłoszonych incydentów, co stanowi wzrost z łącznej sumy 60,5 miliona dolarów w maju.

Pomimo wzrostu miesiąc do miesiąca, czerwcowa suma pozostała znacznie poniżej kwietniowej kwoty 644 milionów dolarów, podkreślając jak nierównomierny był krajobraz exploitów w ciągu roku. Ten sam zestaw danych DefiLlama oznacza również drugi kwartał jako najbardziej zhakowany okres w historii pod względem liczby incydentów, przedłużając wysoką częstotliwość naruszeń odnotowaną do tej pory.

Największe czerwcowe incydenty uwydatniają powtarzające się ryzyko mostów i exploitów

Zestawienie DefiLlama wskazuje na kilka poważnych czerwcowych zdarzeń, które zwiększyły straty. Największym zgłoszonym incydentem w czerwcu był exploit Humanity Protocol o wartości 36 milionów dolarów. Inne znaczące pozycje obejmowały exploit mostu Secret Network o wartości 4,7 miliona dolarów oraz dwa oddzielne exploity Aztec wycenione na 2,1 miliona dolarów każdy.

Na liście znajduje się również exploit mostu na Taiko o wartości 1,7 miliona dolarów. Łącznie te zdarzenia wzmacniają znajomy temat w raportowaniu bezpieczeństwa kryptowalut: systemy mostów cross-chain i złożone integracje protokołów nadal koncentrują straty, gdy wykrywane są luki lub naruszane są komponenty łańcucha dostaw.

Wektory ataku się zmieniają: kompromitacje kluczy prywatnych na czele, przypadki phishingu pozostają problemem

Metodologia DefiLlama rozkłada straty z exploitów zgłoszone w ciągu ostatnich 30 dni według techniki. Kompromitacje kluczy prywatnych odpowiadały za 43% strat, czyniąc je najczęstszą kategorią w tym okresie. Exploity „fałszywych dowodów" stanowiły 10%, podczas gdy odwrócone honeypoty MEV stanowiły 8% według tego samego zestawienia.

Incydent Polymarket jest opisywany inaczej niż te kategorie w podstawowych raportach: Specter przedstawił go jako wstrzyknięcie do frontendu prowadzące do phishingu, co w praktyce może pokrywać się z awariami bezpieczeństwa na poziomie użytkownika, a nie tylko z lukami on-chain. Niezależnie od taksonomii, operacyjny wniosek jest podobny – atakujący coraz częściej łączą słabości łańcucha dostaw z ukierunkowanymi na użytkowników metodami oszustwa w celu przemieszczania środków.

Zagrożenie ma również lokalną historię w Polymarket. Około miesiąc wcześniej rynek predykcji ujawnił oddzielny exploit o wartości 600 000 dolarów powiązany z sześcioletnim kluczem prywatnym używanym do wewnętrznych operacji doładowań. Josh Stevens, wiceprezes ds. inżynierii Polymarket, powiedział wówczas, że kontrakty i środki użytkowników są bezpieczne oraz że uprawnienia powiązane z kluczem zostały cofnięte, co odzwierciedla podejście do reagowania mające na celu ograniczenie ekspozycji po wykryciu.

Na co zwracać uwagę dalej dla użytkowników Polymarket

Ponieważ Polymarket oświadczył, że usunął zagrożoną zależność i zwróci środki poszkodowanym użytkownikom, kolejnymi sygnałami do monitorowania jest to, czy jakiekolwiek rezydualne oszustwa trwają nadal za pośrednictwem stron z pamięci podręcznej, skryptów zewnętrznych lub kolejnych prób przeciwko zatwierdzeniom użytkowników. Szerzej rzecz ujmując, inwestorzy i użytkownicy powinni śledzić, czy rekordowe tempo drugiego kwartału jest kontynuowane oraz czy zestawienie technik DefiLlama pokazuje rosnące incydenty w stylu phishingowym obok kompromitacji kluczy prywatnych.

Ten artykuł został pierwotnie opublikowany jako Polymarket odnotowuje kradzież 2,9 mln USD, plan zwrotu środków zatwierdzony dla użytkowników na Crypto Breaking News – Twoim zaufanym źródle wiadomości o kryptowalutach, wiadomości o Bitcoin i aktualizacjach blockchain.