
پلیمارکت بهدلیل اسکریپت مخرب، ۲.۹۴ میلیون دلار ضرر کرد
این پلتفرم اعلام کرده است که وابستگی تحت تأثیر حذف شده و کاربران آسیبدیده به طور کامل بازپرداخت خواهند شد.
پالیمارکت اعلام کرد که شامل یک نفوذ به فروشنده شخص ثالث بوده که به مهاجمان اجازه داده تا یک اسکریپت مخرب را به فرانتاند آن تزریق کنند، با برآورد یک تحلیلگر که حدود ۲.۹۴ میلیون دلار از حداقل ۱۱ کیف پول کاربر تخلیه شده است. این پلتفرم گفت که وابستگی تحت تأثیر حذف شده و کاربران تحت تأثیر به طور کامل بازپرداخت خواهند شد.
نکات کلیدی
- یک نفوذ به فروشنده شخص ثالث اجازه تزریق اسکریپت مخرب به پالیمارکترا فراهم کرد که بر روی چندین کاربر تأثیر گذاشت.
- تحلیلگر بلاکچین اسپکتر برآورد کرد که حدود ۲.۹۴ میلیون دلار از حداقل ۱۱ کیف پول تخلیه شده است و این جریان را به عنوان فعالشده توسط فیشینگ توصیف کرد.
- پالیمارکت گفت که این حادثه "کنترل شده است"، "وابستگی تحت تأثیر حذف شده است" و کاربران "به طور کامل بازپرداخت خواهند شد."
- DefiLlama این رویداد را به عنوان ۸۹امین نقض امنیتی رمزارز گزارش شده در سهماهه دوم از نظر تعداد حوادث ثبت کرد و خسارات ناشی از سوءاستفاده در ژوئن را ۷۴.۹ میلیون دلار در ۲۹ حادثه تخمین زد.
نفوذ فروشنده پالیمارکت اسکریپت مخرب فرانتاند را تزریق میکند
مهاجمان یک فروشنده شخص ثالث که توسط پالیمارکت استفاده میشد را نفوذ کردند و از آن دسترسی برای تزریق یک اسکریپت مخرب به فرانتاند پلتفرم استفاده کردند که بر روی چندین کاربر تأثیر گذاشت. این مکانیزم مهم است زیرا به لایه وب هدفگیری میکند که معاملهگران واقعاً با آن تعامل دارند، نه لزوماً قراردادهای زنجیرهای.
تحلیلگر بلاکچین، اسپکتر، برآورد کرد که این حادثه حدود ۲.۹۴ میلیون دلار از حداقل ۱۱ کیف پول کاربر Polymarket را تخلیه کرده است. اسپکتر گفت که اسکریپت تزریق شده به نظر میرسد که به تسهیل فیشینگ کمک میکند، الگویی که در آن یک رابط معتبر دستکاری میشود تا کاربران را فریب دهد تا انتقالها را تأیید کنند یا اطلاعات حساس را فاش کنند.
این بسته شامل مجموع خسارت تأیید شده توسط پلتفرم، تعداد کامل کاربران متاثر، یا بازه زمانی دقیق که اسکریپت فعال بود نمیباشد، به جز اشارهای به کشف در روز پنجشنبه. این موضوع باعث میشود که معاملهگران بر اساس برآورد یک تحلیلگر کار کنند در حالی که منتظر یک حسابرسی نهایی هستند.
مراحل مهار و تعهد بازپرداخت از پولیمارکت
پلی مارکت در ایکس اعلام کرد که این مشکل "کنترل شده است" و "وابستگی تحت تأثیر حذف شده است." این پلتفرم همچنین گفت که کاربران تحت تأثیر "به طور کامل بازپرداخت خواهند شد."
این تعهد به بازپرداخت کلید تثبیتکننده رفتار کاربران در کوتاهمدت است. اگر به سرعت و بهطور مؤثر اجرا شود، میتواند آسیبهای reputational را محدود کند، اما تا زمانی که جزئیات پردازش و موارد خاص تأیید نشود، ریسک عملیاتی برای کاربران فعال را از بین نمیبرد. در چنین حوادثی، اثر مرتبه دوم اغلب اعتماد به رابط کاربری است، نه فقط مبلغ دلاری از دست رفته.
این حادثه همچنین پس از افشای جداگانهای از Polymarket حدود یک ماه پیش درباره یک سوءاستفاده 600,000 دلاری مرتبط با یک پروژه شش ساله رخ میدهد.کلید خصوصیبرای عملیات داخلی شارژ مجدد استفاده میشود. جاش استیونس، معاون مهندسی پلیمارکت در آن زمان گفت که قراردادها و وجوه کاربران ایمن باقی مانده و مجوزهای مرتبط با کلید لغو شده است.
زمینه امنیتی: سرعت حوادث سهماهه دوم و مجموع خسارات ژوئن
DefiLlama رویداد Polymarket را به عنوان 89مین نقض امنیتی رمزارز در سهماهه دوم از نظر تعداد حوادث توصیف کرد و آن را به عنوان پرنقضترین سهماهه ثبت شده از نظر تعداد حوادث گسترش داد. خسارات ناشی از سوءاستفاده در ماه ژوئن به 74.9 میلیون دلار در 29 حادثه رسید، در مقایسه با 60.5 میلیون دلار در ماه مه و 644 میلیون دلار در ماه آوریل، طبق گزارش DefiLlama.
تحلیل DefiLlama از ۳۰ روز گذشته همچنین محیط را مشخص میکند: نقض کلید خصوصی ۴۳٪ از خسارات گزارش شده ناشی از سوءاستفادهها را شامل میشود، سوءاستفادههای جعلی از اثبات ۱۰٪ و تلههای معکوس MEV ۸٪ هستند.
مقیاس Polymarket ریسکها را افزایش میدهد. دادههای DefiLlama پلتفرم را با بیش از ۴۵۰ میلیون دلار در TVL نشان میدهد که نسبت به ۱۱۲ میلیون دلار یک سال پیش ۳۰۱٪ افزایش یافته است. این رشد یکپارچگی فرانتاند و بهداشت فروشنده را بیشتر از یک جزئیات فنی میسازد، زیرا جریان بیشتر بازار پیشبینی اکنون در پشت یک سطح وب واحد متمرکز شده است.
سیگنالهایی برای نظارت بر نقض فروشنده Polymarket ۲.۹ میلیون دلار را تخلیه میکند.
اولین تأییدیهای که اهمیت دارد این است که آیا واقعاً بازپرداختها پردازش شدهاند یا نه، از جمله زمان، روش و اینکه آیا هیچ کاربری در موارد حاشیهای حلنشده قرار دارد یا خیر.
مرحله بعدی یک بررسی پس از واقعه است که فروشنده یا وابستگی شخص ثالث نقض شده را نام میبرد و زمان دقیق فعال بودن اسکریپت مخرب را مشخص میکند. بدون آن، معاملهگران نمیتوانند به درستی دامنه آسیبپذیری را تعیین کنند یا قضاوت کنند که آیا اصلاح پایدار است یا خیر.
گزارشدهی خسارت نیز هنوز در حال تغییر است. هر بهروزرسانی فراتر از برآورد Specter، از جمله کیف پولهای اضافی تحت تأثیر یا مجموع تأیید شده توسط پلتفرم، تعیین خواهد کرد که آیا این یک حادثه محدود در سطح کاربر باقی میماند یا به یک رویداد اعتماد گستردهتر گسترش مییابد.
در نهایت، TVL Polymarket را که در حال حاضر توسط DefiLlama بیش از ۴۵۰ میلیون دلار گزارش شده است، برای نشانههایی از چرخش سرمایه کوتاهمدت پس از راهاندازی بازپرداختها زیر نظر داشته باشید. یک TVL ثابت یا در حال بازیابی نشان میدهد که بازار این را به عنوان یک مشکل عملیاتی و نه یک ریسک ساختاری میبیند.ریسک طرف مقابل یک حالت شکست متفاوت از ریسک قرارداد هوشمند است..
ریسک فرانتاند/فروشنده یک حالت شکست متفاوت از ریسک قرارداد هوشمند است.
من به این موضوع به عنوان یک داستان قرارداد هوشمند نگاه نمیکنم. حالت اصلی شکست توصیف شده در اینجا، ریسک زنجیره تأمین وب است، جایی که یک وابستگی آسیبدیده میتواند یک رابط کاربری مشروع را به یک سطح فیشینگ تبدیل کند و کاربران را به امضای انتقال وجوه وادار کند.
آستانهای که اهمیت دارد، اجرا است: اگر Polymarket بازپرداختهای کامل را به سرعت ارائه دهد و یک گزارش واضح پس از وقوع منتشر کند که پنجرهی معرض را تنگ کند، این بیشتر شبیه یک کاتالیزور احساسی به نظر میرسد تا یک تغییر بنیادی. اگر تعداد خسارات افزایش یابد یا پردازش بازپرداخت به کندی پیش برود، این وضعیت بیشتر به نظر میرسد که ساختاری باشد تا داستانمحور، زیرا اعتماد به رابط کاربری محصول است.