Злам постачальника Polymarket вивів $3M коштів користувачів через шкідливий код.

Polymarket підтвердив у четвер, що зламаний сторонній провайдер дозволив зловмисникам впровадити шкідливий код у фронтенд ринку прогнозів, вивівши приблизно 3 мільйона доларів з коштів користувачів. Атака не була спрямована на смартконтракти Polymarket, а натомість через зламаного провайдера надіслала шкідливий скрипт до браузерів деяких користувачів, який отримав доступ до їхніх гаманців та вивів pUSD — стейблкоїн платформи, забезпечений USDC. Атаки на ланцюги постачання стають дедалі привабливішим вектором у криптовалютах, оскільки вони повністю оминають перевірений ончейн-код, вражаючи рівень вебсайту та зовнішні залежності, які користувачі рідко перевіряють.

Зловмисники впровадили шкідливий скрипт через зламаного провайдера

Зламаний провайдер надіслав шкідливий скрипт браузерам деяких користувачів, який отримав доступ до їхніх гаманців та вивів pUSD — стейблкоїн платформи, забезпечений USDC, що використовується для розрахунків за всі угоди. Потім зловмисники перемістили вкрадені кошти з Polygon на Ethereum та обміняли їх на приблизно 1 893 ETH, консолідувавши виручку в одному гаманці. Оскільки шкідливий код знаходився на вебсайті, а не в блокчейні, постраждалі користувачі майже не мали змоги виявити, що інтерфейс, якому вони довіряли, було змінено. Polymarket відмовився назвати зламаного провайдера або надати додаткові коментарі.

Постраждало менше ніж 15 акаунтів, обіцяно повне відшкодування

Ончейн-дослідники з Bubblemaps дійшли висновку, що збитки були значною мірою обмежені: постраждало менше ніж 15 акаунтів користувачів. Polymarket заявив, що повністю відшкодує збитки постраждалим клієнтам, і підтвердив, що проблему з фронтендом було локалізовано та залежність, яка постраждала, видалено. Обмежена кількість акаунтів свідчить про те, що шкідливий скрипт досяг лише частини користувачів до того, як компанія виявила та видалила його. У публікації компанія заявила, що виявила зламаного стороннього провайдера цього ранку, локалізувала порушення та видалила постраждалу залежність.

Другий злам Polymarket за два місяці

Цей злам став другим за два місяці для Polymarket. У травні експлойт гаманця з використанням скомпрометованих облікових даних співробітників призвів до втрат на суму близько 700 000 доларів, що було пов'язано з компрометацією закритих ключів, а не з вадою вебсайту. Разом ці два інциденти вказують на операційні ризики та ризики третіх сторін, а не на слабкі місця базового протоколу. Атаки на фронтенд та ланцюги постачання повністю оминають перевірені смартконтракти, вражаючи рівень вебсайту та зовнішні залежності, які користувачі рідко перевіряють — вектор, який стає дедалі привабливішою ціллю, оскільки сам ончейн-код стає складнішим для зламу.

FAQ

Що спричинило злам Polymarket, в результаті якого було виведено 3 мільйона доларів з коштів користувачів?

Зламаний сторонній провайдер дозволив зловмисникам впровадити шкідливий код у фронтенд Polymarket. Шкідливий скрипт отримав доступ до браузерів деяких користувачів, вивів pUSD з їхніх гаманців та конвертував вкрадені кошти в приблизно 1 893 ETH. Атака була спрямована на рівень вебсайту, а не на смартконтракти Polymarket.

Скільки користувачів Polymarket постраждали від зламу провайдера?

Ончейн-дослідники з Bubblemaps виявили, що шкідливий скрипт торкнувся менше ніж 15 акаунтів. Polymarket пообіцяв повністю відшкодувати збитки постраждалим клієнтам та підтвердив, що проблему з фронтендом було локалізовано та постраждалу залежність видалено.

Чи були у Polymarket інші інциденти безпеки нещодавно?

У травні Polymarket зазнав окремого експлойту гаманця з використанням скомпрометованих облікових даних співробітників, що призвело до втрат на суму близько 700 000 доларів. Цей інцидент був пов'язаний з компрометацією закритих ключів, а не з вадою вебсайту, що робить злам провайдера другим інцидентом безпеки Polymarket за два місяці.