Violação de fornecedor da Polymarket drena $3M in fundos de utilizadores através de código malicioso

A Polymarket confirmou na quinta-feira que um fornecedor externo comprometido permitiu que atacantes injetassem código malicioso no front-end do mercado de previsões, drenando cerca de 3 milhões de dólares em fundos de utilizadores. O ataque não teve como alvo os contratos inteligentes da Polymarket, mas sim serviu um script malicioso através do fornecedor comprometido para os navegadores de alguns utilizadores, que acederam às suas carteiras e drenaram pUSD, a stablecoin lastreada em USDC da plataforma. Os ataques à cadeia de abastecimento tornaram-se um vetor cada vez mais atraente nas criptomoedas, pois contornam completamente o código on-chain auditado, atingindo a camada do site e as dependências externas que os utilizadores raramente examinam.

Atacantes Injetaram Script Malicioso Através de Fornecedor Comprometido

O fornecedor comprometido serviu um script malicioso para os navegadores de alguns utilizadores, que acederam às suas carteiras e drenaram pUSD, a stablecoin lastreada em USDC da plataforma usada para liquidar todas as transações. Os atacantes depois transferiram os fundos roubados da Polygon para a Ethereum e trocaram-nos por cerca de 1.893 ETH, consolidando os lucros numa única carteira. Como o código malicioso residia no site e não na blockchain, os utilizadores afetados tinham pouca forma de detetar que a interface em que confiavam havia sido adulterada. A Polymarket recusou-se a nomear o fornecedor comprometido ou a comentar mais.

Menos de 15 Contas Afetadas, Reembolsos Totais Prometidos

Os investigadores on-chain da Bubblemaps concluíram que os danos estavam em grande parte contidos, com menos de 15 contas de utilizadores afetadas. A Polymarket afirmou que reembolsaria integralmente os clientes afetados e confirmou que o problema no front-end havia sido contido e a dependência afetada removida. O número limitado de contas sugere que o script malicioso atingiu apenas um subconjunto de utilizadores antes de a empresa o detetar e remover. A empresa afirmou numa publicação que tinha descoberto o fornecedor externo comprometido esta manhã e que tinha contido a violação e removido a dependência afetada.

Segunda Violação da Polymarket em Dois Meses

A violação foi a segunda da Polymarket em dois meses. Em maio, um exploit de carteira envolvendo credenciais de funcionários comprometidas levou a cerca de 700 mil dólares em perdas, atribuído a um comprometimento de chave privada e não a uma falha no site. Juntos, os dois episódios apontam para risco operacional e de terceiros, em vez de fraquezas no protocolo subjacente. Os ataques ao front-end e à cadeia de abastecimento contornam completamente os contratos inteligentes auditados, atingindo a camada do site e as dependências externas que os utilizadores raramente examinam, um vetor que se tornou um alvo cada vez mais atraente à medida que o código on-chain em si se torna mais difícil de quebrar.

FAQ

O que causou a violação da Polymarket que drenou 3 milhões de dólares em fundos de utilizadores?

Um fornecedor externo comprometido permitiu que atacantes injetassem código malicioso no front-end da Polymarket. O script malicioso acedeu aos navegadores de alguns utilizadores, drenou pUSD das suas carteiras e converteu os fundos roubados em cerca de 1.893 ETH. O ataque teve como alvo a camada do site, e não os contratos inteligentes da Polymarket.

Quantos utilizadores da Polymarket foram afetados pela violação do fornecedor?

Os investigadores on-chain da Bubblemaps descobriram que menos de 15 contas foram afetadas pelo script malicioso. A Polymarket comprometeu-se a reembolsar integralmente os clientes afetados e confirmou que o problema no front-end havia sido contido e a dependência afetada removida.

A Polymarket sofreu outros incidentes de segurança recentemente?

Em maio, a Polymarket sofreu um exploit separado de carteira envolvendo credenciais de funcionários comprometidas que levou a cerca de 700 mil dólares em perdas. Esse incidente foi atribuído a um comprometimento de chave privada, e não a uma falha no site, tornando a violação do fornecedor o segundo incidente de segurança da Polymarket em dois meses.