Polymarketは木曜日、侵害されたサードパーティベンダーにより、攻撃者が予測市場のフロントエンドに悪意のあるコードを注入し、ユーザー資金から約300万ドルを流出させたことを確認した。この攻撃はPolymarketのスマートコントラクトを標的にしたものではなく、侵害されたベンダーを通じて一部ユーザーのブラウザに悪意のあるスクリプトを配信し、そのスクリプトがユーザーのウォレットにアクセスして、プラットフォームのUSDC連動ステーブルコインであるpUSDを流出させた。サプライチェーン攻撃は、監査済みのオンチェーンコードを完全にバイパスし、ユーザーがほとんど精査しないウェブサイト層や外部依存関係を攻撃するため、暗号資産分野でますます魅力的な攻撃ベクトルとなっている。
攻撃者は侵害されたベンダーを通じて悪意のあるスクリプトを注入
侵害されたベンダーは一部ユーザーのブラウザに悪意のあるスクリプトを配信し、そのスクリプトがウォレットにアクセスして、すべての取引の決済に使用されるプラットフォームのUSDC連動ステーブルコインであるpUSDを流出させた。攻撃者はその後、盗んだ資金をPolygonからEthereumにブリッジし、約1,893 ETHに交換して、1つのウォレットに資金を集約した。悪意のあるコードはブロックチェーンではなくウェブサイト内に存在したため、影響を受けたユーザーは、信頼していたインターフェースが改ざんされたことを検知する手段がほとんどなかった。Polymarketは侵害されたベンダーの名前を明らかにせず、これ以上のコメントも拒否した。
影響を受けたアカウントは15未満、全額返金を約束
Bubblemapsのオンチェーン調査員は、被害はほぼ封じ込められており、影響を受けたユーザーアカウントは15未満であると結論付けた。Polymarketは影響を受けた顧客に全額返金すると発表し、フロントエンドの問題は封じ込められ、影響を受けた依存関係は削除されたことを確認した。アカウント数が限られていることから、悪意のあるスクリプトは、同社が発見して削除する前に、一部のユーザーにのみ到達したことが示唆される。同社は投稿で、今朝、侵害されたサードパーティベンダーを発見し、侵害を封じ込め、影響を受けた依存関係を削除したと述べている。
2か月で2度目のPolymarket侵害
今回の侵害はPolymarketにとって2か月で2度目となる。5月には、従業員の認証情報が侵害されたウォレット悪用事件が発生し、約70万ドルの損失が発生した。これはウェブサイトの欠陥ではなく、秘密鍵の侵害によるものとされた。この2つの事件は、基盤となるプロトコルの弱点ではなく、運用上のリスクとサードパーティリスクを指し示している。フロントエンドおよびサプライチェーン攻撃は、監査済みのスマートコントラクトを完全にバイパスし、ユーザーがほとんど精査しないウェブサイト層や外部依存関係を攻撃する。オンチェーンコード自体のクラックが難しくなるにつれ、このベクトルはますます魅力的な標的となっている。
FAQ
Polymarketで300万ドルのユーザー資金流出を引き起こした侵害の原因は?
侵害されたサードパーティベンダーにより、攻撃者がPolymarketのフロントエンドに悪意のあるコードを注入できた。悪意のあるスクリプトが一部ユーザーのブラウザにアクセスし、ウォレットからpUSDを流出させ、盗んだ資金を約1,893 ETHに変換した。この攻撃はPolymarketのスマートコントラクトではなく、ウェブサイト層を標的にしたものだった。
ベンダー侵害の影響を受けたPolymarketユーザー数は?
Bubblemapsのオンチェーン調査員は、悪意のあるスクリプトの影響を受けたアカウントは15未満であることを確認した。Polymarketは影響を受けた顧客に全額返金することを約束し、フロントエンドの問題は封じ込められ、影響を受けた依存関係は削除されたことを確認した。
Polymarketは最近、他のセキュリティインシデントも経験したのか?
5月、Polymarketは従業員の認証情報が侵害された別のウォレット悪用事件に見舞われ、約70万ドルの損失が発生した。そのインシデントはウェブサイトの欠陥ではなく秘密鍵の侵害に起因するものであり、今回のベンダー侵害はPolymarketにとって2か月で2度目のセキュリティインシデントとなった。
