Polymarketは木曜日、ハッカーが侵害されたサードパーティベンダーを悪用したセキュリティ侵害を被ったと、予測市場プラットフォームが発表した。
この攻撃により、Polymarketのフロントエンドに悪意のあるコードが注入され、ブロックチェーン調査会社Bubblemapsによると、15未満のユーザーアカウントから約300万ドルの顧客資金が盗まれた。
今回のインシデントは、Polymarketにとって2か月で2度目のセキュリティ侵害であり、先月には、ユーザー報酬に使用されていた従業員ウォレットが侵害され、同社に約70万ドルの損失をもたらした悪用事件が発生していた。
ハッカーは侵害されたベンダーを通じて悪意のあるコードを注入
攻撃者はサードパーティベンダーを悪用してPolymarketのウェブサイトフロントエンドに悪意のあるコードを注入したと、同社はXへの投稿で述べた。
PolymarketはDecryptの取材に対し、どのベンダーが侵害されたか特定することを拒否した。
この侵害により、ハッカーはpUSD(Polymarket独自の米ドルペッグステーブルコインで、USDCに裏付けられ、すべてのプラットフォーム取引に使用される)を含む顧客ウォレットから資金を流出させることができた。
盗まれた資金はその後ETHに変換され、イーサリアムウォレットに統合され、執筆時点でもそこに残っている。
Bubblemapsのオンチェーン調査員は、影響を受けた特定のウォレットアドレスを特定し、潜在的な被害は15未満のユーザーアカウントに影響が及んだだけでほぼ封じ込められたと結論付けた。
Polymarket、影響を受けたユーザーに全額返金を約束
Polymarketは、影響を受けたすべての顧客に全額返金すると発表した。
同社は、フロントエンドの問題は封じ込められ、除去されたと述べた。
Polymarketは、サイト運営に直接関与するサードパーティベンダーを巻き込んだ将来の悪用を防ぐためにどのような措置を講じるかについては明らかにしなかった。
プラットフォームは先月70万ドルの悪用事件を経験
先月、Polymarketは、従業員がユーザー報酬のチャージや支払いに使用するウォレットを標的にした別のハッキング被害に遭った。
その悪用により約70万ドルの損失が発生し、同社によると、秘密鍵の漏洩が原因である可能性が高い。
セキュリティ専門家は当時、このインシデントは同社のインフラに影響を与えたり、より広範なリスクをもたらしたりするようには見えないと述べた。
両方の悪用事件は、コアプロトコルが安全なままでも、ハッカーが周辺の脆弱性を通じて主要プラットフォームに侵入できる能力を示している。
よくある質問
木曜日の悪用事件でハッカーはPolymarketユーザーからいくら盗んだのか?
ブロックチェーン調査会社Bubblemapsによると、ハッカーは15未満のユーザーアカウントから約300万ドル相当の顧客資金を盗んだ。
木曜日のPolymarketセキュリティ侵害の原因は?
この侵害は、ハッカーが侵害されたサードパーティベンダーを悪用してPolymarketのウェブサイトフロントエンドに悪意のあるコードを注入し、pUSDステーブルコインを含む顧客ウォレットへの不正アクセスを可能にした後に発生した。
ハッキングの影響を受けたPolymarketユーザーは返金を受けられるか?
Polymarketは、影響を受けたすべての顧客に全額返金すると発表し、フロントエンドの脆弱性は封じ込められ除去されたと述べた。
