Платформа для прогнозирования рынков Polymarket объявила, что пользователи, пострадавшие от эксплуатации уязвимости на сайте, которая привела к краже криптоактивов на сумму около 3 миллионов долларов, получат полное возмещение. Компания заявляет, что инцидент был вызван не проблемой в базовой архитектуре платформы, а вредоносным ПО, добавленным во внешний интерфейс платформы скомпрометированным сторонним поставщиком.
Вредоносный скрипт распространялся только на ограниченный круг выбранных пользователей. Он позволял злоумышленнику выводить средства из кошельков пользователей при взаимодействии с затронутым внешним интерфейсом. Затем Polymarket сообщила, что ей удалось определить причину проблемы, изолировать зависимость и начать связываться с пострадавшими пользователями.
«Наша команда обнаружила, что сторонний поставщик был скомпрометирован, внедрив вредоносный скрипт в наш фронтенд для некоторых пользователей», — заявила компания. «Мы локализовали угрозу, удалили затронутую зависимость и возмещаем убытки пострадавшим пользователям в полном объеме».
Пострадали около 15 кошельков, украденные средства переведены в Ethereum
По оценкам, атаке подверглись менее 15 учетных записей пользователей. Основную часть украденных активов составил стейблкоин Polymarket pUSD, который злоумышленник вывел с Polygon в Ethereum, а затем обменял на примерно 1893 ETH.
Исследователи безопасности охарактеризовали событие не как прямое нарушение смарт-контрактов Polymarket, а как атаку на цепочку поставок. Это различие показывает, что основное ядро протокола платформы не пострадало. Более того, атака была нацелена на клиентов через скомпрометированный код стороннего поставщика на веб-сайте.
Хотя компания признает, что уязвимость была устранена, информация о том, какой именно поставщик пострадал в результате атаки, не раскрывается. Polymarket также не провела полного технического анализа атаки.
Второй инцидент безопасности вызывает новые опасения
Прошло менее двух месяцев с момента другого проблемного инцидента безопасности, связанного с кошельком под контролем компании, который использовался для распределения пользовательских вознаграждений. Предположительно, причиной предыдущего инцидента, приведшего к потерям около 700 000 долларов, стал скомпрометированный закрытый ключ.
Текущий инцидент подчеркивает растущие риски, связанные с зависимостью от стороннего программного обеспечения. Хотя готовность Polymarket компенсировать убытки пострадавшим пользователям может помочь восстановить доверие, атаки на цепочку поставок становятся серьезной проблемой безопасности для криптосектора, который все больше зависит от внешних поставщиков услуг.
Основные события крипторынка
Cardano (ADA) подает смешанные сигналы: назревает ли прорыв или готовится новое падение?
