A cracked smartphone screen with a red battery
ارز دیجیتال

پلی‌مارکت به‌دلیل اسکریپت مخرب، ۲.۹۴ میلیون دلار ضرر کرد

این پلتفرم اعلام کرده است که وابستگی تحت تأثیر حذف شده و کاربران آسیب‌دیده به طور کامل بازپرداخت خواهند شد.

نوشته AI News Crypto Editorial Team4 دقیقه مطالعه

پالی‌مارکت اعلام کرد که شامل یک نفوذ به فروشنده شخص ثالث بوده که به مهاجمان اجازه داده تا یک اسکریپت مخرب را به فرانت‌اند آن تزریق کنند، با برآورد یک تحلیل‌گر که حدود ۲.۹۴ میلیون دلار از حداقل ۱۱ کیف پول کاربر تخلیه شده است. این پلتفرم گفت که وابستگی تحت تأثیر حذف شده و کاربران تحت تأثیر به طور کامل بازپرداخت خواهند شد.

نکات کلیدی

  • یک نفوذ به فروشنده شخص ثالث اجازه تزریق اسکریپت مخرب به پالی‌مارکترا فراهم کرد که بر روی چندین کاربر تأثیر گذاشت.
  • تحلیل‌گر بلاکچین اسپکتر برآورد کرد که حدود ۲.۹۴ میلیون دلار از حداقل ۱۱ کیف پول تخلیه شده است و این جریان را به عنوان فعال‌شده توسط فیشینگ توصیف کرد.
  • پالی‌مارکت گفت که این حادثه "کنترل شده است"، "وابستگی تحت تأثیر حذف شده است" و کاربران "به طور کامل بازپرداخت خواهند شد."
  • DefiLlama این رویداد را به عنوان ۸۹امین نقض امنیتی رمزارز گزارش شده در سه‌ماهه دوم از نظر تعداد حوادث ثبت کرد و خسارات ناشی از سوءاستفاده در ژوئن را ۷۴.۹ میلیون دلار در ۲۹ حادثه تخمین زد.

نفوذ فروشنده پالی‌مارکت اسکریپت مخرب فرانت‌اند را تزریق می‌کند

مهاجمان یک فروشنده شخص ثالث که توسط پالی‌مارکت استفاده می‌شد را نفوذ کردند و از آن دسترسی برای تزریق یک اسکریپت مخرب به فرانت‌اند پلتفرم استفاده کردند که بر روی چندین کاربر تأثیر گذاشت. این مکانیزم مهم است زیرا به لایه وب هدف‌گیری می‌کند که معامله‌گران واقعاً با آن تعامل دارند، نه لزوماً قراردادهای زنجیره‌ای.

تحلیلگر بلاکچین، اسپکتر، برآورد کرد که این حادثه حدود ۲.۹۴ میلیون دلار از حداقل ۱۱ کیف پول کاربر Polymarket را تخلیه کرده است. اسپکتر گفت که اسکریپت تزریق شده به نظر می‌رسد که به تسهیل فیشینگ کمک می‌کند، الگویی که در آن یک رابط معتبر دستکاری می‌شود تا کاربران را فریب دهد تا انتقال‌ها را تأیید کنند یا اطلاعات حساس را فاش کنند.

این بسته شامل مجموع خسارت تأیید شده توسط پلتفرم، تعداد کامل کاربران متاثر، یا بازه زمانی دقیق که اسکریپت فعال بود نمی‌باشد، به جز اشاره‌ای به کشف در روز پنجشنبه. این موضوع باعث می‌شود که معامله‌گران بر اساس برآورد یک تحلیل‌گر کار کنند در حالی که منتظر یک حسابرسی نهایی هستند.

مراحل مهار و تعهد بازپرداخت از پولی‌مارکت

پلی مارکت در ایکس اعلام کرد که این مشکل "کنترل شده است" و "وابستگی تحت تأثیر حذف شده است." این پلتفرم همچنین گفت که کاربران تحت تأثیر "به طور کامل بازپرداخت خواهند شد."

این تعهد به بازپرداخت کلید تثبیت‌کننده رفتار کاربران در کوتاه‌مدت است. اگر به سرعت و به‌طور مؤثر اجرا شود، می‌تواند آسیب‌های reputational را محدود کند، اما تا زمانی که جزئیات پردازش و موارد خاص تأیید نشود، ریسک عملیاتی برای کاربران فعال را از بین نمی‌برد. در چنین حوادثی، اثر مرتبه دوم اغلب اعتماد به رابط کاربری است، نه فقط مبلغ دلاری از دست رفته.

این حادثه همچنین پس از افشای جداگانه‌ای از Polymarket حدود یک ماه پیش درباره یک سوءاستفاده 600,000 دلاری مرتبط با یک پروژه شش ساله رخ می‌دهد.کلید خصوصیبرای عملیات داخلی شارژ مجدد استفاده می‌شود. جاش استیونس، معاون مهندسی پلی‌مارکت در آن زمان گفت که قراردادها و وجوه کاربران ایمن باقی مانده و مجوزهای مرتبط با کلید لغو شده است.

زمینه امنیتی: سرعت حوادث سه‌ماهه دوم و مجموع خسارات ژوئن

DefiLlama رویداد Polymarket را به عنوان 89مین نقض امنیتی رمزارز در سه‌ماهه دوم از نظر تعداد حوادث توصیف کرد و آن را به عنوان پرنقض‌ترین سه‌ماهه ثبت شده از نظر تعداد حوادث گسترش داد. خسارات ناشی از سوءاستفاده در ماه ژوئن به 74.9 میلیون دلار در 29 حادثه رسید، در مقایسه با 60.5 میلیون دلار در ماه مه و 644 میلیون دلار در ماه آوریل، طبق گزارش DefiLlama.

تحلیل DefiLlama از ۳۰ روز گذشته همچنین محیط را مشخص می‌کند: نقض کلید خصوصی ۴۳٪ از خسارات گزارش شده ناشی از سوءاستفاده‌ها را شامل می‌شود، سوءاستفاده‌های جعلی از اثبات ۱۰٪ و تله‌های معکوس MEV ۸٪ هستند.

مقیاس Polymarket ریسک‌ها را افزایش می‌دهد. داده‌های DefiLlama پلتفرم را با بیش از ۴۵۰ میلیون دلار در TVL نشان می‌دهد که نسبت به ۱۱۲ میلیون دلار یک سال پیش ۳۰۱٪ افزایش یافته است. این رشد یکپارچگی فرانت‌اند و بهداشت فروشنده را بیشتر از یک جزئیات فنی می‌سازد، زیرا جریان بیشتر بازار پیش‌بینی اکنون در پشت یک سطح وب واحد متمرکز شده است.

سیگنال‌هایی برای نظارت بر نقض فروشنده Polymarket ۲.۹ میلیون دلار را تخلیه می‌کند.

اولین تأییدیه‌ای که اهمیت دارد این است که آیا واقعاً بازپرداخت‌ها پردازش شده‌اند یا نه، از جمله زمان، روش و اینکه آیا هیچ کاربری در موارد حاشیه‌ای حل‌نشده قرار دارد یا خیر.

مرحله بعدی یک بررسی پس از واقعه است که فروشنده یا وابستگی شخص ثالث نقض شده را نام می‌برد و زمان دقیق فعال بودن اسکریپت مخرب را مشخص می‌کند. بدون آن، معامله‌گران نمی‌توانند به درستی دامنه آسیب‌پذیری را تعیین کنند یا قضاوت کنند که آیا اصلاح پایدار است یا خیر.

گزارش‌دهی خسارت نیز هنوز در حال تغییر است. هر به‌روزرسانی فراتر از برآورد Specter، از جمله کیف پول‌های اضافی تحت تأثیر یا مجموع تأیید شده توسط پلتفرم، تعیین خواهد کرد که آیا این یک حادثه محدود در سطح کاربر باقی می‌ماند یا به یک رویداد اعتماد گسترده‌تر گسترش می‌یابد.

در نهایت، TVL Polymarket را که در حال حاضر توسط DefiLlama بیش از ۴۵۰ میلیون دلار گزارش شده است، برای نشانه‌هایی از چرخش سرمایه کوتاه‌مدت پس از راه‌اندازی بازپرداخت‌ها زیر نظر داشته باشید. یک TVL ثابت یا در حال بازیابی نشان می‌دهد که بازار این را به عنوان یک مشکل عملیاتی و نه یک ریسک ساختاری می‌بیند.ریسک طرف مقابل یک حالت شکست متفاوت از ریسک قرارداد هوشمند است..

ریسک فرانت‌اند/فروشنده یک حالت شکست متفاوت از ریسک قرارداد هوشمند است.

من به این موضوع به عنوان یک داستان قرارداد هوشمند نگاه نمی‌کنم. حالت اصلی شکست توصیف شده در اینجا، ریسک زنجیره تأمین وب است، جایی که یک وابستگی آسیب‌دیده می‌تواند یک رابط کاربری مشروع را به یک سطح فیشینگ تبدیل کند و کاربران را به امضای انتقال وجوه وادار کند.

آستانه‌ای که اهمیت دارد، اجرا است: اگر Polymarket بازپرداخت‌های کامل را به سرعت ارائه دهد و یک گزارش واضح پس از وقوع منتشر کند که پنجره‌ی معرض را تنگ کند، این بیشتر شبیه یک کاتالیزور احساسی به نظر می‌رسد تا یک تغییر بنیادی. اگر تعداد خسارات افزایش یابد یا پردازش بازپرداخت به کندی پیش برود، این وضعیت بیشتر به نظر می‌رسد که ساختاری باشد تا داستان‌محور، زیرا اعتماد به رابط کاربری محصول است.

منابع