Polymarket में फ्रंटेंड स्क्रिप्ट से $2.94M की चोरी
प्लेटफ़ॉर्म का कहना है कि प्रभावित निर्भरता हटा दी गई है और प्रभावित उपयोगकर्ताओं को पूरी तरह से धनवापसी की जाएगी।
Polymarket ने कहा कि इसमें एक तृतीय-पक्ष विक्रेता का समझौता था जिसने हमलावरों को इसके फ्रंटेंड में एक दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट करने की अनुमति दी, एक विश्लेषक ने अनुमान लगाया कि कम से कम 11 उपयोगकर्ता वॉलेट से लगभग $2.94 मिलियन निकाले गए। प्लेटफ़ॉर्म ने कहा कि प्रभावित निर्भरता हटा दी गई थी और प्रभावित उपयोगकर्ताओं को पूरी तरह से वापस किया जाएगा।
मुख्य निष्कर्ष
- एक तृतीय-पक्ष विक्रेता का समझौता एक दुर्भावनापूर्ण स्क्रिप्ट इंजेक्शन की अनुमति देता हैPolymarketके फ्रंटेंड में, कई उपयोगकर्ताओं को प्रभावित करता है।
- ब्लॉकचेन विश्लेषक स्पेक्टर ने अनुमान लगाया कि कम से कम 11 वॉलेट से लगभग $2.94 मिलियन निकाले गए, इस प्रवाह को फ़िशिंग-सक्षम बताया।
- Polymarket ने कहा कि घटना "नियंत्रित कर ली गई है," "प्रभावित निर्भरता हटा दी गई है," और उपयोगकर्ताओं को "पूरी तरह से वापस किया जाएगा।"
- DefiLlama ने इस घटना को Q2 में रिपोर्ट की गई 89वीं क्रिप्टो सुरक्षा उल्लंघन के रूप में लॉग किया और जून के शोषण के नुकसान को 29 घटनाओं में $74.9 मिलियन रखा।
Polymarket विक्रेता समझौता दुर्भावनापूर्ण फ्रंटेंड स्क्रिप्ट इंजेक्ट करता है
हमलावरों ने Polymarket द्वारा उपयोग किए जाने वाले एक तृतीय-पक्ष विक्रेता से समझौता किया और उस पहुंच का उपयोग करके प्लेटफ़ॉर्म के फ्रंटेंड में एक दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट की, जिससे कई उपयोगकर्ता प्रभावित हुए। यह तंत्र महत्वपूर्ण है क्योंकि यह वेब परत को लक्षित करता है जिसके साथ व्यापारी वास्तव में बातचीत करते हैं, न कि अनिवार्य रूप से ऑन-चेन अनुबंध।
ब्लॉकचेन विश्लेषक स्पेक्टर ने अनुमान लगाया कि इस घटना ने कम से कम 11 पोलिमार्केट उपयोगकर्ता वॉलेट्स से लगभग $2.94 मिलियन निकाल लिए। स्पेक्टर ने कहा कि इंजेक्ट किया गया स्क्रिप्ट फ़िशिंग को सुविधाजनक बनाने के लिए प्रतीत होता है, जो एक पैटर्न है जहां एक विश्वसनीय इंटरफ़ेस को इस तरह से हेरफेर किया जाता है कि उपयोगकर्ताओं को ट्रांसफर को मंजूरी देने या संवेदनशील जानकारी प्रकट करने के लिए धोखा दिया जा सके।
पैकेट में प्लेटफ़ॉर्म द्वारा पुष्टि की गई हानि का कुल आंकड़ा, प्रभावित उपयोगकर्ताओं की पूरी संख्या, या स्क्रिप्ट के लाइव रहने की सटीक समय सीमा शामिल नहीं है, केवल गुरुवार को खोज के संदर्भ का उल्लेख किया गया है। इससे व्यापारियों को एक विश्लेषक के अनुमान पर काम करना पड़ रहा है जबकि अंतिम लेखा-जोखा की प्रतीक्षा कर रहे हैं।
पॉलीमार्केट से नियंत्रण उपाय और धनवापसी की प्रतिबद्धता
Polymarket ने X पर कहा कि समझौता “नियंत्रित” कर लिया गया है और “प्रभावित निर्भरता हटा दी गई है।” प्लेटफॉर्म ने यह भी कहा कि प्रभावित उपयोगकर्ताओं को “पूरी तरह से धनवापसी” की जाएगी।
वह रिफंड प्रतिबद्धता निकट-अवधि के उपयोगकर्ता व्यवहार के लिए मुख्य स्थिरीकरण है। यदि इसे तेजी से और साफ-सुथरे तरीके से लागू किया जाए तो यह प्रतिष्ठा को नुकसान को सीमित कर सकता है, लेकिन यह सक्रिय उपयोगकर्ताओं के लिए परिचालन जोखिम को समाप्त नहीं करता जब तक कि प्रसंस्करण विवरण और किनारे के मामलों की पुष्टि नहीं हो जाती। ऐसे घटनाओं में, द्वितीयक प्रभाव अक्सर इंटरफेस में विश्वास होता है, केवल खोई हुई डॉलर राशि नहीं।
यह घटना एक महीने पहले एक अलग Polymarket खुलासे के बाद भी हुई है, जिसमें एक छह साल पुराने $600,000 के शोषण का जिक्र किया गया था।निजी कुंजीआंतरिक टॉप-अप संचालन के लिए उपयोग किया गया। Polymarket के इंजीनियरिंग के उपाध्यक्ष जोश स्टीवन्स ने उस समय कहा था कि अनुबंध और उपयोगकर्ता के फंड सुरक्षित रहे और कुंजी से जुड़े अनुमतियाँ रद्द कर दी गई थीं।
सुरक्षा पृष्ठभूमि: Q2 घटना की गति और जून में हानि के कुल आंकड़े
DefiLlama ने Polymarket घटना को Q2 में घटना की संख्या के अनुसार 89वें रिपोर्ट किए गए क्रिप्टो सुरक्षा उल्लंघन के रूप में वर्णित किया, जो कि घटना की संख्या के अनुसार सबसे अधिक हैक किए गए तिमाही के रूप में वर्णित किया। जून में हुए उल्लंघनों से कुल हानि $74.9 मिलियन थी, जो 29 घटनाओं में हुई, जबकि मई में यह $60.5 मिलियन और अप्रैल में $644 मिलियन थी, DefiLlama के अनुसार।
DefiLlama का पिछले 30 दिनों का विश्लेषण भी वातावरण को स्पष्ट करता है: निजी कुंजी के समझौतों ने रिपोर्ट किए गए शोषण हानियों का 43% हिस्सा बनाया, नकली प्रमाण शोषण 10% थे, और रिवर्स MEV हनीपॉट्स 8% थे।
Polymarket का पैमाना दांव को बढ़ाता है। DefiLlama के डेटा के अनुसार, प्लेटफॉर्म का TVL $450 मिलियन से अधिक है, जो एक साल पहले $112 मिलियन से 301% बढ़ा है। यह वृद्धि फ्रंटेंड इंटीग्रिटी और विक्रेता स्वच्छता को एक तकनीकी विवरण से अधिक महत्वपूर्ण बनाती है, क्योंकि अब अधिक भविष्यवाणी-बाजार का प्रवाह एक ही वेब सतह के पीछे केंद्रित है।
पॉलीमार्केट विक्रेता समझौते के लिए देखने के संकेत $2.9 मिलियन की हानि
पहली पुष्टि जो महत्वपूर्ण है वह यह है कि क्या रिफंड वास्तव में संसाधित किए गए हैं, जिसमें समय, विधि और यह कि क्या कोई उपयोगकर्ता अनसुलझे किनारे के मामलों में आते हैं।
अगला एक पोस्टमॉर्टम है जो समझौता किए गए तीसरे पक्ष के विक्रेता या निर्भरता का नाम देता है और उस सटीक समयावधि को निर्धारित करता है जब दुर्भावनापूर्ण स्क्रिप्ट सक्रिय थी। इसके बिना, व्यापारी सही तरीके से जोखिम का आकलन नहीं कर सकते या यह नहीं判断 कर सकते कि समाधान टिकाऊ है या नहीं।
हानि की रिपोर्टिंग अभी भी परिवर्तनशील है। स्पेक्टर के अनुमान से परे कोई भी अपडेट, जिसमें अतिरिक्त प्रभावित वॉलेट या प्लेटफ़ॉर्म द्वारा पुष्टि की गई कुल राशि शामिल है, यह निर्धारित करेगा कि क्या यह एक सीमित उपयोगकर्ता स्तर की घटना बनी रहती है या एक व्यापक विश्वास घटना में फैलती है।
अंत में, Polymarket के TVL पर नज़र रखें, जो वर्तमान में DefiLlama द्वारा $450 मिलियन से अधिक रिपोर्ट किया गया है, रिफंड रोलआउट के बाद अल्पकालिक पूंजी घूर्णन के संकेतों के लिए। एक स्थिर या पुनर्प्राप्त हो रहा TVL यह सुझाव देगा कि बाजार इसे एक परिचालन बाधा के रूप में देख रहा है न कि एक संरचनात्मक समस्या के रूप में।काउंटरपार्टी जोखिम.
फ्रंटेंड/वेंडर जोखिम स्मार्ट-कॉन्ट्रैक्ट जोखिम से एक अलग विफलता मोड है।
मैं इसे एक स्मार्ट-कॉन्ट्रैक्ट कहानी के रूप में नहीं मानता। यहाँ वर्णित मुख्य विफलता मोड वेब आपूर्ति श्रृंखला जोखिम है, जहाँ एक समझौता किया गया निर्भरता एक वैध फ्रंटेंड को एक फ़िशिंग सतह में बदल सकता है और उपयोगकर्ताओं को फंड्स को हस्ताक्षर करने के लिए मजबूर कर सकता है।
जो सीमा महत्वपूर्ण है वह निष्पादन है: यदि Polymarket तेजी से पूर्ण रिफंड प्रदान करता है और एक स्पष्ट पोस्टमॉर्टम प्रकाशित करता है जो जोखिम की खिड़की को संकीर्ण करता है, तो यह एक भावनात्मक उत्प्रेरक की तरह लगता है न कि एक मौलिक बदलाव। यदि हानि की गणना बढ़ती है या रिफंड प्रोसेसिंग में देरी होती है, तो सेटअप संरचनात्मक लगने लगता है न कि कथा-प्रेरित क्योंकि इंटरफेस में विश्वास ही उत्पाद है।
