Polymarket ยืนยันเมื่อวันพฤหัสบดีว่าผู้ให้บริการบุคคลที่สามที่ถูกบุกรุกทำให้ผู้โจมตีสามารถฉีดโค้ดที่เป็นอันตรายเข้าสู่ส่วนหน้าของตลาดทำนาย ส่งผลให้สูญเสียเงินทุนของผู้ใช้ประมาณ 3 ล้านดอลลาร์ การโจมตีไม่ได้มุ่งเป้าไปที่สัญญาอัจฉริยะของ Polymarket แต่กลับใช้สคริปต์ที่เป็นอันตรายผ่านผู้ให้บริการที่ถูกบุกรุกไปยังเบราว์เซอร์ของผู้ใช้บางราย ซึ่งเข้าถึงกระเป๋าเงินของพวกเขาและดูดเอา pUSD ซึ่งเป็นสเตเบิลคอยน์ที่ backed โดย USDC ของแพลตฟอร์ม การโจมตีห่วงโซ่อุปทานกลายเป็นเวกเตอร์ที่น่าสนใจมากขึ้นในวงการคริปโต เนื่องจากมันเลี่ยงโค้ด on-chain ที่ผ่านการตรวจสอบโดยตรง โจมตีที่ชั้นเว็บไซต์และการพึ่งพาภายนอกที่ผู้ใช้แทบไม่ตรวจสอบ
ผู้ให้บริการที่ถูกบุกรุกส่งสคริปต์ที่เป็นอันตรายไปยังเบราว์เซอร์ของผู้ใช้บางราย ซึ่งเข้าถึงกระเป๋าเงินของพวกเขาและดูดเอา pUSD ซึ่งเป็นสเตเบิลคอยน์ที่ backed โดย USDC ของแพลตฟอร์มที่ใช้ชำระราคาทั้งหมด จากนั้นผู้โจมตีได้บริดจ์เงินที่ถูกขโมยจาก Polygon ไปยัง Ethereum และแลกเปลี่ยนเป็นประมาณ 1,893 ETH รวมเงินที่ได้ไว้ในกระเป๋าเงินเดียว เนื่องจากโค้ดที่เป็นอันตรายอยู่บนเว็บไซต์แทนที่จะเป็นบล็อกเชน ผู้ใช้ที่ได้รับผลกระทบจึงแทบไม่มีทางตรวจจับว่าอินเทอร์เฟซที่พวกเขาไว้วางใจถูกดัดแปลง Polymarket ปฏิเสธที่จะเปิดเผยชื่อผู้ให้บริการที่ถูกบุกรุกหรือให้ความเห็นเพิ่มเติม
นักสืบ on-chain จาก Bubblemaps สรุปว่าความเสียหายถูกจำกัดเป็นส่วนใหญ่ โดยมีบัญชีผู้ใช้น้อยกว่า 15 บัญชีที่ได้รับผลกระทบ Polymarket กล่าวว่าจะคืนเงินให้ลูกค้าที่ได้รับผลกระทบเต็มจำนวน และยืนยันว่าปัญหาส่วนหน้าได้รับการควบคุมแล้วและลบการพึ่งพาที่ได้รับผลกระทบออกไปแล้ว จำนวนบัญชีที่จำกัดบ่งชี้ว่าสคริปต์ที่เป็นอันตรายเข้าถึงเฉพาะผู้ใช้บางกลุ่มก่อนที่บริษัทจะตรวจพบและดึงออก บริษัทระบุในโพสต์ว่าค้นพบผู้ให้บริการบุคคลที่สามที่ถูกบุกรุกในเช้าวันนี้ และได้ควบคุมการละเมิดและลบการพึ่งพาที่ได้รับผลกระทบออกไปแล้ว
การละเมิดครั้งนี้เป็นครั้งที่สองของ Polymarket ในสองเดือน ในเดือนพฤษภาคม การใช้ประโยชน์จากกระเป๋าเงินที่เกี่ยวข้องกับข้อมูลประจำตัวของพนักงานที่ถูกบุกรุกทำให้สูญเสียประมาณ 7 แสนดอลลาร์ ซึ่งเกิดจากการประนีประนอมคีย์ส่วนตัวมากกว่าข้อบกพร่องของเว็บไซต์ เมื่อรวมกันแล้ว เหตุการณ์ทั้งสองชี้ให้เห็นถึงความเสี่ยงด้านการปฏิบัติงานและบุคคลที่สาม มากกว่าจุดอ่อนในโปรโตคอลพื้นฐาน การโจมตีส่วนหน้าและห่วงโซ่อุปทานเลี่ยงสัญญาอัจฉริยะที่ผ่านการตรวจสอบโดยตรง โจมตีที่ชั้นเว็บไซต์และการพึ่งพาภายนอกที่ผู้ใช้แทบไม่ตรวจสอบ ซึ่งเป็นเวกเตอร์ที่กลายเป็นเป้าหมายที่น่าสนใจมากขึ้น เนื่องจากโค้ด on-chain เองนั้นยากต่อการเจาะมากขึ้น
คำถามที่พบบ่อย
อะไรทำให้เกิดการละเมิด Polymarket ที่ดูดเงินทุนผู้ใช้ 3 ล้านดอลลาร์?
ผู้ให้บริการบุคคลที่สามที่ถูกบุกรุกทำให้ผู้โจมตีสามารถฉีดโค้ดที่เป็นอันตรายเข้าสู่ส่วนหน้าของ Polymarket สคริปต์ที่เป็นอันตรายเข้าถึงเบราว์เซอร์ของผู้ใช้บางราย ดูดเอา pUSD จากกระเป๋าเงินของพวกเขา และแปลงเงินที่ถูกขโมยเป็นประมาณ 1,893 ETH การโจมตีมุ่งเป้าไปที่ชั้นเว็บไซต์แทนที่จะเป็นสัญญาอัจฉริยะของ Polymarket
ผู้ใช้ Polymarket กี่คนที่ได้รับผลกระทบจากการละเมิดผู้ให้บริการ?
นักสืบ on-chain จาก Bubblemaps พบว่าบัญชีน้อยกว่า 15 บัญชีได้รับผลกระทบจากสคริปต์ที่เป็นอันตราย Polymarket ให้คำมั่นว่าจะคืนเงินให้ลูกค้าที่ได้รับผลกระทบเต็มจำนวน และยืนยันว่าปัญหาส่วนหน้าได้รับการควบคุมแล้วและลบการพึ่งพาที่ได้รับผลกระทบออกไปแล้ว
Polymarket มีเหตุการณ์ด้านความปลอดภัยอื่น ๆ เมื่อเร็ว ๆ นี้หรือไม่?
ในเดือนพฤษภาคม Polymarket ประสบปัญหาการใช้ประโยชน์จากกระเป๋าเงินอีกครั้งที่เกี่ยวข้องกับข้อมูลประจำตัวของพนักงานที่ถูกบุกรุก ซึ่งทำให้สูญเสียประมาณ 7 แสนดอลลาร์ เหตุการณ์นั้นเกิดจากการประนีประนอมคีย์ส่วนตัวมากกว่าข้อบกพร่องของเว็บไซต์ ทำให้การละเมิดผู้ให้บริการเป็นเหตุการณ์ด้านความปลอดภัยครั้งที่สองของ Polymarket ในสองเดือน
