因网站漏洞导致约300万美元加密货币资产被盗的预测市场平台用户,将从Polymarket获得全额赔偿。平台声称,该事件并非源于平台底层架构问题,而是由一家受入侵的第三方供应商在前端平台添加了恶意软件所致。
恶意脚本仅分发给少数特定用户。该脚本帮助攻击者在用户与受影响的前端交互时,从其钱包中抽走资金。随后Polymarket声明,他们已能确定问题根源,隔离相关依赖,并开始联系受影响的用户。
该公司在一份声明中表示:“我们的团队发现,一家第三方供应商遭受入侵,向部分用户的前端注入了一个恶意脚本。我们已经控制住情况,移除了受影响的依赖项,并正在全额退款给受影响的用户。”
约15个钱包受影响,被盗资金已转移至以太坊
据估计,受此次攻击影响的用户账户不足15个。攻击者将Polymarket的pUSD稳定币从Polygon桥接到以太坊,然后兑换了约1,893 ETH。这构成了被盗资产的大部分。
安全研究人员将此事件定性为供应链攻击,而非对Polymarket智能合约的直接破坏。这一区别表明平台的核心协议未受影响。此外,攻击是利用网站上受入侵的第三方代码来针对客户的。
尽管公司承认漏洞已修复,但未提供关于哪家供应商因此次攻击遭受损失的信息。Polymarket也未对此次攻击进行完整的技术分析。
第二次安全事件引发新担忧
距离上一次涉及用于发放用户奖励的公司控制钱包的安全问题,还不到两个月。据称,上一次事件是由于私钥泄露造成的,导致约70万美元的损失。
当前事件突显了与第三方软件依赖相关的风险日益增加。尽管Polymarket愿意赔偿受影响用户可能有助于恢复信任,但供应链攻击正成为加密货币领域一个主要的安全隐患。同时,该领域也越来越依赖外部服务提供商。
加密货币市场要闻
Cardano (ADA) 发出混杂信号:是酝酿突破还是拐角再遇下跌?
