Platforma de predicții Polymarket a confirmat vineri că un furnizor terț compromis a permis atacatorilor să injecteze cod malițios în interfața sa web, ducând la furtul a aproximativ 3 milioane de dolari din conturile a mai puțin de 15 utilizatori. Platforma a anunțat că va rambursa integral toți utilizatorii afectați.
Atacul a fost semnalat inițial de cercetătorul în securitate on-chain Specter, care a postat că o campanie de phishing aparentă a drenat fonduri din peste 11 portofele ale victimelor care dețineau stablecoin-ul PUSD al Polymarket. La acel moment, se estima că pierderile se ridicau la 2,94 milioane de dolari, PeckShield confirmând cifra la scurt timp și notând că atacatorul a mutat fondurile furate de pe Polygon pe Ethereum și le-a convertit în 1.893 ETH.
Piața de predicții a recunoscut breșa printr-unul dintre conturile sale oficiale, Polymarket Traders. "În această dimineață am descoperit că un furnizor terț a fost compromis, injectând un script malițios în interfața noastră pentru anumiți utilizatori. L-am izolat și am eliminat dependența afectată," au scris aceștia pe X. "Contactăm utilizatorii afectați și îi rambursăm integral." William LeGate, care lucrează îndeaproape cu platforma, a confirmat vestea despre compensații, repetând că problema a fost rezolvată și că utilizatorii afectați își vor primi banii înapoi în totalitate.
Un alt cont specializat în securitatea blockchain, GoPlus Security, a descris incidentul ca un atac al lanțului de aprovizionare. Aceștia au precizat că acel cod malițios a afectat aproximativ 15 conturi, cu pierderi totale de 3 milioane de dolari, o concluzie la care a ajuns și Bubblemaps, care a lăudat răspunsul Polymarket după ce pierderile au fost controlate.
Aceasta nu este prima dată când Polymarket se confruntă cu probleme de securitate. Luna trecută, platforma a dezvăluit o altă breșă în care un portofel de administrator folosit pentru alimentarea recompensele angajaților a fost golit de aproximativ 700.000 de dolari, cel mai probabil printr-o compromitere a cheii private. Inițial, "vânătorul" de criptomonede ZachXBT a estimat pierderile la aproximativ 520.000 de dolari, Bubblemaps citând ulterior cifra mai mare după urmărirea fondurilor prin mai multe adrese. Dezvoltatorul Josh Stevens a confirmat la momentul respectiv că o cheie privată veche de 6 ani fusese expusă printr-o configurație internă și că compania rotaise de atunci acreditările și trecuse la servicii de management al cheilor. Totuși, acel incident nu a afectat fondurile utilizatorilor sau contractele de bază.
În timp ce cele două incidente au implicat metode de atac diferite, ambele au vizat sisteme din afara piețelor de predicții ale Polymarket. Mai mult, cel mai recent atac vine într-un moment în care platforma se confruntă deja cu alte dificultăți de reputație, inclusiv un raport recent al Wall Street Journal, care a susținut că Polymarket a plătit creatori tineri între 2.000 și 3.000 de dolari pe lună pentru a posta videoclipuri cu pariuri simulate pe versiuni demonstrative ale site-ului Polymarket, fără ca niciunul dintre cele peste 1.100 de clipuri să fie trasabil la activități reale pe blockchain. A existat, de asemenea, o altă controversă la începutul acestei luni, când un trader a susținut că a pierdut 500.000 de dolari după ce serviciul de predicții ar fi modificat regulile de rezoluție pentru o piață legată de vânzarea Bitcoin a companiei Strategy.