Polymarket reembolsa a los usuarios después del hackeo de $3M proveedor externo

Polymarket sufrió una brecha de seguridad el jueves después de que hackers explotaran a un proveedor externo comprometido, anunció la plataforma de predicción de mercados. El ataque permitió la inyección de código malicioso en el frontend de Polymarket, resultando en el robo de aproximadamente $3 millones en fondos de clientes de menos de 15 cuentas de usuario, según la firma de investigaciones blockchain Bubblemaps. El incidente marca la segunda brecha de seguridad de Polymarket en dos meses, tras un exploit previo el mes pasado que le costó a la empresa aproximadamente $700 mil de una billetera de empleados comprometida utilizada para recompensas de usuarios.

Hackers Inyectaron Código Malicioso a Través de un Proveedor Comprometido

Los atacantes explotaron a un proveedor externo para inyectar código malicioso en el frontend del sitio web de Polymarket, declaró la empresa en un post en X. Polymarket se negó a identificar qué proveedor fue comprometido cuando fue contactada por Decrypt. La brecha permitió a los hackers drenar fondos de billeteras de clientes que contenían pUSD, una stablecoin vinculada al dólar específica de Polymarket respaldada por USDC utilizada para todas las operaciones de la plataforma. Los fondos robados fueron luego convertidos en ETH y consolidados en una billetera de Ethereum, donde permanecen al momento de escribir esto. Investigadores on-chain de Bubblemaps identificaron direcciones de billetera afectadas específicas, concluyendo que el daño potencial estuvo en gran medida contenido, con menos de 15 cuentas de usuario impactadas.

Polymarket se Compromete a Reembolsos Completos para los Usuarios Afectados

Polymarket anunció que está reembolsando a todos los clientes afectados en su totalidad. La empresa declaró que el problema del frontend ha sido contenido y eliminado. Polymarket no especificó qué medidas implementará para prevenir futuros exploits que involucren a proveedores externos que están directamente involucrados en la operación del sitio.

La Plataforma Sufrió un Exploit de $700 Mil el Mes Pasado

El mes pasado, Polymarket sufrió un hackeo separado dirigido a una billetera utilizada por empleados de la empresa para recargar y pagar recompensas de usuarios. Ese exploit resultó en pérdidas de aproximadamente $700 mil y probablemente fue causado por un compromiso de clave privada, según la empresa. Expertos en seguridad declararon en ese momento que el incidente no parecía afectar la infraestructura de la empresa ni representar riesgos más amplios. Ambos exploits demuestran la capacidad de los hackers para infiltrarse en plataformas importantes a través de vulnerabilidades periféricas, incluso cuando los protocolos centrales permanecen seguros.

FAQ

¿Cuánto robaron los hackers de los usuarios de Polymarket en el exploit del jueves?
Los hackers robaron aproximadamente $3 millones en fondos de clientes de menos de 15 cuentas de usuario, según la firma de investigaciones blockchain Bubblemaps.

¿Qué causó la brecha de seguridad de Polymarket el jueves?
La brecha ocurrió después de que hackers explotaran a un proveedor externo comprometido para inyectar código malicioso en el frontend del sitio web de Polymarket, permitiendo el acceso no autorizado a billeteras de clientes que contenían la stablecoin pUSD.

¿Recibirán reembolsos los usuarios de Polymarket afectados por el hackeo?
Polymarket anunció que está reembolsando a todos los clientes afectados en su totalidad y declaró que la vulnerabilidad del frontend ha sido contenida y eliminada.