Insidente ng Pag-hack sa Polymarket
Ayon sa pahayag ng Polymarket, isang third-party vendor nito ang nahack noong Huwebes, na nagdulot ng kahinaan sa kanilang website. Ang insidente ay nagresulta sa pagkawala ng milyong dolyar para sa mga gumagamit ng platform.
Tumanggi ang Polymarket na magbigay ng komento nang makontak ng Decrypt at hindi nila tinukoy kung aling vendor ang naapektuhan.
Sa kabila nito, pinayagan ng pag-atake ang mga hacker na mag-inject ng mapanlikhang code sa front-end ng prediction market, ayon sa pahayag ng kumpanya sa isang post sa X. Sa kabuuan, ninakaw ng mga hacker ang humigit-kumulang $3 milyon na halaga ng pondo ng mga customer.
Pag-aaral ng Pinsala
Ayon sa mga on-chain sleuths mula sa Bubblemaps, ang potensyal na pinsala mula sa hack ay tila nakontrol, na may mas mababa sa 15 user accounts na naapektuhan. Ang blockchain investigations firm ay hindi agad tumugon sa kahilingan ng Decrypt para sa komento.
Sinabi ng Polymarket na nasa proseso sila ng pagbabalik ng buong pondo sa mga naapektuhang customer, at ang isyu sa front-end ay nakontrol at naalis na.
Mga Hakbang sa Seguridad
Hanggang ngayon, hindi pa malinaw kung anong mga hakbang ang maaaring gawin ng prediction market platform upang maiwasan ang ganitong uri ng exploit sa hinaharap, dahil umaasa ito sa ilang panlabas na third-party na negosyo na tila direktang kasangkot sa operasyon ng site.
Ang mga umaatake ay tila nag-alis ng pondo mula sa mga wallet ng customer ng Polymarket na naglalaman ng pUSD, isang dollar-pegged stablecoin na partikular sa Polymarket at sinusuportahan ng USDC, na ginagamit upang mapadali ang lahat ng kalakalan sa platform. Pagkatapos, kinonbert nila ang mga ninakaw na pondo sa ETH at pinagsama-sama ang mga ito sa isang Ethereum wallet, kung saan, sa oras ng pagsusulat, ay nananatili pa rin.
Naunang Insidente
Noong nakaraang buwan, nakaranas ang Polymarket ng isa pang hack, na nag-target sa isang wallet na ginagamit ng mga empleyado ng kumpanya upang mag-top up at magbayad ng mga gantimpala sa gumagamit. Ang exploit na ito ay nagdulot ng humigit-kumulang $700,000 na pagkalugi sa kumpanya, at malamang na sanhi ng kompromiso ng isang pribadong susi.
Ayon sa mga eksperto, hindi ito nakaapekto sa imprastruktura ng kumpanya o nagdala ng mas malawak na panganib.
Gayunpaman, ang parehong exploit na iyon at ang kasalukuyang insidente ay nagpapakita ng kakayahan ng mga hacker na makapasok sa mga pangunahing kumpanya sa mga gilid, kahit na ang mga pangunahing protocol ay nananatiling secure.
