Polymarket ประสบเหตุการณ์ละเมิดความปลอดภัยเมื่อวันพฤหัสบดี หลังจากแฮกเกอร์ใช้ประโยชน์จากผู้ให้บริการบุคคลที่สามที่ถูกบุกรุก แพลตฟอร์มทำนายตลาดประกาศ การโจมตีดังกล่าวทำให้มีการฉีดโค้ดอันตรายเข้าสู่ส่วนหน้าของ Polymarket ส่งผลให้มีการขโมยเงินทุนของลูกค้ามูลค่าประมาณ 3 ล้านดอลลาร์จากบัญชีผู้ใช้น้อยกว่า 15 ราย ตามข้อมูลจากบริษัทสืบสวนบล็อกเชน Bubblemaps เหตุการณ์นี้เป็นการละเมิดความปลอดภัยครั้งที่สองของ Polymarket ในรอบสองเดือน หลังจากการโจมตีก่อนหน้านี้เมื่อเดือนที่แล้วซึ่งทำให้บริษัทสูญเสียประมาณ 700,000 ดอลลาร์จากกระเป๋าเงินของพนักงานที่ถูกบุกรุกซึ่งใช้สำหรับรางวัลผู้ใช้
แฮกเกอร์ฉีดโค้ดอันตรายผ่านผู้ให้บริการที่ถูกบุกรุก
ผู้โจมตีใช้ประโยชน์จากผู้ให้บริการบุคคลที่สามเพื่อฉีดโค้ดอันตรายเข้าสู่ส่วนหน้าของเว็บไซต์ Polymarket บริษัทระบุในโพสต์บน X Polymarket ปฏิเสธที่จะระบุว่าผู้ให้บริการรายใดถูกบุกรุกเมื่อติดต่อโดย Decrypt การละเมิดดังกล่าวทำให้แฮกเกอร์สามารถถอนเงินจากกระเป๋าเงินของลูกค้าที่มี pUSD ซึ่งเป็นสเตเบิลคอยน์ที่ผูกกับดอลลาร์เฉพาะของ Polymarket ที่ backed by USDC และใช้สำหรับการซื้อขายทั้งหมดบนแพลตฟอร์ม เงินที่ถูกขโมยถูกแปลงเป็น ETH และรวบรวมไว้ในกระเป๋าเงิน Ethereum ซึ่งยังคงอยู่ ณ เวลาที่เขียนนี้ ผู้สืบสวน On-chain ที่ Bubblemaps ระบุที่อยู่กระเป๋าเงินที่ได้รับผลกระทบเฉพาะ โดยสรุปว่าความเสียหายที่อาจเกิดขึ้นถูกจำกัดเป็นส่วนใหญ่ โดยมีบัญชีผู้ใช้ที่ได้รับผลกระทบน้อยกว่า 15 ราย
Polymarket ยืนยันจะคืนเงินเต็มจำนวนให้ผู้ใช้ที่ได้รับผลกระทบ
Polymarket ประกาศว่าจะคืนเงินให้ลูกค้าที่ได้รับผลกระทบทั้งหมดอย่างเต็มจำนวน บริษัทระบุว่าปัญหาที่ส่วนหน้าได้ถูกควบคุมและลบออกแล้ว Polymarket ไม่ได้ระบุว่ามีมาตรการใดที่จะนำมาใช้เพื่อป้องกันการโจมตีในอนาคตที่เกี่ยวข้องกับผู้ให้บริการบุคคลที่สามที่มีส่วนเกี่ยวข้องโดยตรงในการดำเนินงานของไซต์
แพลตฟอร์มประสบเหตุโจมตีมูลค่า 700,000 ดอลลาร์เมื่อเดือนที่แล้ว
เมื่อเดือนที่แล้ว Polymarket ประสบเหตุแฮ็กแยกต่างหากที่กำหนดเป้าหมายกระเป๋าเงินที่พนักงานของบริษัทใช้เติมเงินและจ่ายรางวัลให้ผู้ใช้ การโจมตีครั้งนั้นทำให้สูญเสียประมาณ 700,000 ดอลลาร์ และน่าจะเกิดจากคีย์ส่วนตัวถูกบุกรุก ตามข้อมูลของบริษัท ผู้เชี่ยวชาญด้านความปลอดภัยระบุในเวลานั้นว่าเหตุการณ์ดังกล่าวดูเหมือนจะไม่ส่งผลกระทบต่อโครงสร้างพื้นฐานของบริษัท หรือก่อให้เกิดความเสี่ยงในวงกว้าง การโจมตีทั้งสองครั้งแสดงให้เห็นถึงความสามารถของแฮกเกอร์ในการเจาะระบบแพลตฟอร์มขนาดใหญ่ผ่านช่องโหว่รอบข้าง แม้ว่าโปรโตคอลหลักจะยังคงปลอดภัยก็ตาม
คำถามที่พบบ่อย
แฮกเกอร์ขโมยเงินจากผู้ใช้ Polymarket ไปเท่าไรในการโจมตีเมื่อวันพฤหัสบดี?
แฮกเกอร์ขโมยเงินทุนของลูกค้ามูลค่าประมาณ 3 ล้านดอลลาร์จากบัญชีผู้ใช้น้อยกว่า 15 ราย ตามข้อมูลจากบริษัทสืบสวนบล็อกเชน Bubblemaps
อะไรทำให้เกิดการละเมิดความปลอดภัยของ Polymarket เมื่อวันพฤหัสบดี?
การละเมิดเกิดขึ้นหลังจากแฮกเกอร์ใช้ประโยชน์จากผู้ให้บริการบุคคลที่สามที่ถูกบุกรุกเพื่อฉีดโค้ดอันตรายเข้าสู่ส่วนหน้าของเว็บไซต์ Polymarket ทำให้สามารถเข้าถึงกระเป๋าเงินของลูกค้าที่มีสเตเบิลคอยน์ pUSD โดยไม่ได้รับอนุญาต
ผู้ใช้ Polymarket ที่ได้รับผลกระทบจากการโจมตีจะได้รับเงินคืนหรือไม่?
Polymarket ประกาศว่าจะคืนเงินให้ลูกค้าที่ได้รับผลกระทบทั้งหมดอย่างเต็มจำนวน และระบุว่าช่องโหว่ที่ส่วนหน้าได้ถูกควบคุมและลบออกแล้ว
