Polymarket'te kötü niyetli script ile 2.94M$ kayıp
Platform, etkilenen bağımlılığın kaldırıldığını ve etkilenen kullanıcıların tam olarak geri ödeneceğini belirtiyor.
Polymarket, saldırganların ön yüzüne kötü niyetli bir script enjekte etmesine izin veren bir üçüncü taraf satıcı ihlali içerdiğini söyledi ve bir analist, en az 11 kullanıcı cüzdanından yaklaşık 2.94 milyon doların çekildiğini tahmin etti. Platform, etkilenen bağımlılığın kaldırıldığını ve etkilenen kullanıcıların tamamen geri ödeneceğini belirtti.
Anahtar Çıkarımlar
- Bir üçüncü taraf satıcı ihlali, Polymarket'ın ön yüzüne kötü niyetli bir script enjekte edilmesine olanak tanıdı ve çok sayıda kullanıcıyı etkiledi.Polymarketön yüzüne kötü niyetli bir script enjekte edilmesine neden olan bir üçüncü taraf satıcı ihlali yaşandı ve bu durum çok sayıda kullanıcıyı etkiledi.
- Blockchain analisti Specter, en az 11 cüzdandan yaklaşık 2.94 milyon doların çekildiğini tahmin etti ve akışı phishing ile etkinleştirilmiş olarak tanımladı.
- Polymarket, olayın 'kontrol altına alındığını', 'etkilenen bağımlılığın kaldırıldığını' ve kullanıcıların 'tamamen geri ödeneceğini' söyledi.
- DefiLlama, olayı, olay sayısına göre Q2'de bildirilen 89. kripto güvenlik ihlali olarak kaydetti ve Haziran'daki istismar kayıplarını 29 olayda 74.9 milyon dolar olarak belirtti.
Polymarket Üçüncü Taraf Satıcı İhlali Kötü Niyetli Ön Yüz Scripti Enjekte Ediyor
Saldırganlar, Polymarket tarafından kullanılan bir üçüncü taraf satıcıyı ihlal etti ve bu erişimi, platformun ön yüzüne kötü niyetli bir script enjekte etmek için kullandı, bu da çok sayıda kullanıcıyı etkiledi. Mekanizma önemlidir çünkü, kullanıcıların gerçekten etkileşimde bulunduğu web katmanını hedef alır, mutlaka zincir üzerindeki sözleşmeleri değil.
Blockchain analisti Specter, olayın en az 11 Polymarket kullanıcı cüzdanından yaklaşık 2.94 milyon dolar çektiğini tahmin etti. Specter, enjekte edilen scriptin, kullanıcıları transferleri onaylamaya veya hassas bilgileri ifşa etmeye kandırmak için güvenilir bir arayüzün manipüle edildiği bir desen olan phishing'i kolaylaştırdığını belirtti.
Paket, platform tarafından onaylanmış bir kayıp toplamını, etkilenen kullanıcıların tam sayısını veya scriptin canlı olduğu tam zaman dilimini, sadece Perşembe günü keşfedilmesine dair bir referans dışında içermiyor. Bu durum, yatırımcıların nihai bir hesaplama beklerken bir analistin tahmini üzerinden işlem yapmalarına neden oluyor.
Polymarket'ten Sınırlama Adımları ve İade Taahhüdü
Polymarket, X'te yaptığı açıklamada, uzlaşmanın “kontrol altına alındığını” ve “etkilenen bağımlılığın kaldırıldığını” belirtti. Platform ayrıca etkilenen kullanıcıların “tamamen geri ödeneceğini” söyledi.
Bu geri ödeme taahhüdü, kısa vadeli kullanıcı davranışı için ana dengeleyicidir. Hızlı ve temiz bir şekilde uygulanırsa itibar kaybını sınırlayabilir, ancak işlem detayları ve kenar durumlarının onaylanmasına kadar aktif kullanıcılar için operasyonel riski ortadan kaldırmaz. Bu tür olaylarda, ikinci dereceden etki genellikle yalnızca kaybedilen dolar miktarı değil, aynı zamanda arayüze olan güven olur.
Olay, yaklaşık bir ay önce Polymarket'in altı yıllık bir exploit ile ilgili 600.000 dolarlık bir açıklama yapmasının ardından gerçekleşti.özel anahtariçsel yükleme işlemleri için kullanıldı. Polymarket mühendislik başkan yardımcısı Josh Stevens o sırada sözleşmelerin ve kullanıcı fonlarının güvende olduğunu ve anahtara bağlı izinlerin iptal edildiğini söyledi.
Güvenlik Arka Planı: İkinci Çeyrek Olay Hızı ve Haziran Kayıp Toplamları
DefiLlama, Polymarket olayını Q2'deki 89. rapor edilen kripto güvenlik ihlali olarak nitelendirdi ve bunu, olay sayısına göre kaydedilen en çok saldırıya uğrayan çeyrek olarak tanımladı. DefiLlama'ya göre, Haziran ayında 29 olayda toplam kayıplar 74.9 milyon dolar oldu; bu, Mayıs'taki 60.5 milyon dolar ve Nisan'daki 644 milyon dolara kıyasla.
DefiLlama'nın son 30 günün analizinde, özel anahtar ihlalleri bildirilen istismar kayıplarının %43'ünü, sahte kanıt istismarları %10'unu ve ters MEV tuzakları %8'ini oluşturuyor.
Polymarket'in ölçeği riskleri artırıyor. DefiLlama verileri, platformun TVL'sinin 450 milyon doların üzerinde olduğunu, bir yıl önceki 112 milyon dolardan %301 arttığını gösteriyor. Bu büyüme, ön yüz bütünlüğünü ve satıcı hijyenini teknik bir detay olmaktan çıkarıyor, çünkü artık daha fazla tahmin pazarı akışı tek bir web yüzeyinin arkasında yoğunlaşmış durumda.
Polymarket satıcı ihlali için izlenmesi gereken sinyaller 2.9 milyon doları tüketiyor.
Önemli olan ilk onay, geri ödemelerin gerçekten işlenip işlenmediğidir; bu, zamanlama, yöntem ve herhangi bir kullanıcının çözülmemiş kenar durumlarına girip girmediğini içerir.
Sonraki adım, ihlal edilen üçüncü taraf satıcı veya bağımlılığı adlandıran bir otopsi ve kötü niyetli scriptin aktif olduğu tam zaman dilimini belirlemektir. Bunu yapmadan, tüccarlar maruziyeti doğru bir şekilde değerlendiremez veya düzeltmenin kalıcı olup olmadığını yargılayamaz.
Kayıp raporlaması da hala belirsizlik içinde. Specter'ın tahmininin ötesinde herhangi bir güncelleme, ek etkilenen cüzdanlar veya platform tarafından onaylanan toplam dahil olmak üzere, bunun sınırlı bir kullanıcı düzeyi olayı mı kalacağı yoksa daha geniş bir güven olayı mı haline geleceğini belirleyecektir.
Son olarak, geri ödeme dağıtımından sonra kısa vadeli sermaye rotasyonu için DefiLlama tarafından şu anda 450 milyon doların üzerinde bildirilen Polymarket'in TVL'sini izleyin. Düz veya toparlanan bir TVL, pazarın bunu yapısal bir sorun değil, operasyonel bir aksaklık olarak değerlendirdiğini gösterecektir.Karşı taraf riski..
Ön yüz/Satıcı Riski, Akıllı Sözleşme Riskinden Farklı Bir Başarısızlık Modudur.
Bunu bir akıllı sözleşme hikayesi olarak görmüyorum. Burada tanımlanan temel başarısızlık modu, bir tehlikeye maruz kalmış bağımlılığın meşru bir ön yüzü bir kimlik avı yüzeyine dönüştürebileceği web tedarik zinciri riskidir ve kullanıcıları fonlarını imzalamaya zorlayabilir.
Önemli olan eşik, yürütmedir: Eğer Polymarket hızlı bir şekilde tam iadeler sağlarsa ve maruziyet penceresini daraltan net bir ölüm sonrası rapor yayınlarsa, bu daha çok bir duygu katalizörü gibi görünür, temelde bir değişimden ziyade. Eğer kayıp toplamı artarsa veya iade işlemleri uzarsa, yapı anlatıdan ziyade yapısal görünmeye başlar çünkü arayüze olan güven üründür.
