Polymarket bị tấn công, mất khoảng 2,94 triệu USD
Nền tảng cho biết phụ thuộc bị ảnh hưởng đã được gỡ bỏ và người dùng bị ảnh hưởng sẽ được hoàn tiền đầy đủ.
Polymarket cho biết đã có một sự xâm phạm từ bên thứ ba cho phép kẻ tấn công chèn một đoạn mã độc vào giao diện người dùng của nó, với một nhà phân tích ước tính khoảng 2,94 triệu đô la đã bị rút từ ít nhất 11 ví của người dùng. Nền tảng này cho biết phụ thuộc bị ảnh hưởng đã được gỡ bỏ và những người dùng bị ảnh hưởng sẽ được hoàn tiền đầy đủ.
Điểm chính
- Một sự xâm phạm từ bên thứ ba đã cho phép chèn mã độc vào Polymarket’s giao diện người dùng, ảnh hưởng đến nhiều người dùng.
- Nhà phân tích blockchain Specter ước tính khoảng 2,94 triệu đô la đã bị rút từ ít nhất 11 ví, mô tả dòng tiền này là được kích hoạt bởi phishing.
- Polymarket cho biết sự cố đã được “kiểm soát,” “phụ thuộc bị ảnh hưởng đã được gỡ bỏ,” và người dùng “sẽ được hoàn tiền đầy đủ.”
- DefiLlama đã ghi lại sự kiện này là vụ vi phạm an ninh tiền điện tử thứ 89 được báo cáo trong quý 2 theo số lượng sự cố và đặt thiệt hại do khai thác trong tháng 6 ở mức 74,9 triệu đô la trên 29 sự cố.
Sự xâm phạm của nhà cung cấp Polymarket chèn mã độc vào giao diện người dùng
Kẻ tấn công đã xâm phạm một nhà cung cấp bên thứ ba được Polymarket sử dụng và đã sử dụng quyền truy cập đó để chèn một đoạn mã độc vào giao diện người dùng của nền tảng, ảnh hưởng đến nhiều người dùng. Cơ chế này quan trọng vì nó nhắm vào lớp web mà các nhà giao dịch thực sự tương tác, không nhất thiết là các hợp đồng trên chuỗi.
Nhà phân tích blockchain Specter ước tính sự cố này đã rút khoảng 2,94 triệu đô la từ ít nhất 11 ví người dùng Polymarket. Specter cho biết đoạn mã được tiêm vào có vẻ như đã tạo điều kiện cho việc lừa đảo, một mô hình mà giao diện đáng tin cậy bị thao túng để đánh lừa người dùng phê duyệt các giao dịch hoặc tiết lộ thông tin nhạy cảm.
Gói tin không bao gồm tổng số thiệt hại đã được nền tảng xác nhận, số lượng người dùng bị ảnh hưởng, hoặc khoảng thời gian chính xác mà kịch bản hoạt động ngoài một tham chiếu đến việc phát hiện vào thứ Năm. Điều đó khiến các nhà giao dịch phải dựa vào ước tính của nhà phân tích trong khi chờ đợi một báo cáo cuối cùng.
Các bước kiểm soát và cam kết hoàn tiền từ Polymarket
Polymarket cho biết trên X rằng sự cố “đã được kiểm soát” và “sự phụ thuộc bị ảnh hưởng đã được loại bỏ.” Nền tảng cũng cho biết những người dùng bị ảnh hưởng “sẽ được hoàn tiền đầy đủ.”
Cam kết hoàn tiền đó là yếu tố ổn định chính cho hành vi người dùng trong ngắn hạn. Nó có thể hạn chế thiệt hại về danh tiếng nếu được thực hiện nhanh chóng và rõ ràng, nhưng nó không loại bỏ rủi ro hoạt động cho người dùng đang hoạt động cho đến khi có xác nhận về chi tiết xử lý và các trường hợp biên. Trong những sự cố như thế này, hiệu ứng bậc hai thường là sự tự tin vào giao diện, chứ không chỉ là số tiền bị mất.
Sự cố này cũng xảy ra sau một thông báo riêng của Polymarket cách đây khoảng một tháng về một vụ khai thác trị giá 600.000 đô la liên quan đến một dự án đã tồn tại sáu năm.khóa riêngđược sử dụng cho các hoạt động nạp tiền nội bộ. Phó chủ tịch kỹ thuật của Polymarket, Josh Stevens, đã nói vào thời điểm đó rằng các hợp đồng và quỹ của người dùng vẫn an toàn và quyền truy cập liên quan đến khóa đã bị thu hồi.
Bối cảnh An ninh: Tốc độ sự cố Q2 và Tổng thiệt hại tháng Sáu
DefiLlama đã mô tả sự kiện Polymarket là vụ vi phạm bảo mật tiền điện tử thứ 89 được báo cáo trong quý 2 theo số lượng sự cố, kéo dài những gì họ gọi là quý bị tấn công nhiều nhất trong lịch sử theo số lượng sự cố. Thiệt hại do các vụ khai thác trong tháng 6 tổng cộng là 74,9 triệu đô la trên 29 sự cố, so với 60,5 triệu đô la trong tháng 5 và 644 triệu đô la trong tháng 4, theo DefiLlama.
Phân tích của DefiLlama về 30 ngày qua cũng khung lại môi trường: việc lộ khóa riêng chiếm 43% tổng thiệt hại do khai thác được báo cáo, các khai thác bằng chứng giả chiếm 10%, và các honeypot MEV đảo ngược chiếm 8%.
Quy mô của Polymarket nâng cao mức cược. Dữ liệu của DefiLlama cho thấy nền tảng này có hơn 450 triệu USD TVL, tăng 301% so với 112 triệu USD một năm trước. Sự tăng trưởng đó làm cho tính toàn vẹn của frontend và vệ sinh nhà cung cấp trở thành điều quan trọng hơn là một chi tiết kỹ thuật, vì dòng chảy từ thị trường dự đoán giờ đây tập trung nhiều hơn sau một bề mặt web duy nhất.
Các tín hiệu cần theo dõi cho việc lộ thông tin nhà cung cấp Polymarket đã rút 2,9 triệu USD.
Xác nhận đầu tiên quan trọng là liệu các khoản hoàn tiền đã thực sự được xử lý hay chưa, bao gồm thời gian, phương thức, và liệu có người dùng nào rơi vào các trường hợp chưa được giải quyết hay không.
Tiếp theo là một báo cáo hậu sự kiện chỉ rõ nhà cung cấp bên thứ ba hoặc phụ thuộc đã bị xâm phạm và xác định chính xác khoảng thời gian mà mã độc hại hoạt động. Nếu không có điều đó, các nhà giao dịch không thể xác định đúng mức độ rủi ro hoặc đánh giá liệu biện pháp khắc phục có bền vững hay không.
Việc báo cáo thiệt hại cũng vẫn đang trong tình trạng biến động. Bất kỳ cập nhật nào vượt quá ước tính của Specter, bao gồm các ví bị ảnh hưởng thêm hoặc tổng số được xác nhận bởi nền tảng, sẽ xác định liệu sự việc này có giữ nguyên ở mức sự cố cấp người dùng hay mở rộng thành một sự kiện niềm tin rộng hơn.
Cuối cùng, hãy theo dõi TVL của Polymarket, hiện được báo cáo trên 450 triệu USD bởi DefiLlama, để tìm dấu hiệu của việc luân chuyển vốn ngắn hạn sau khi hoàn tiền. Một TVL phẳng hoặc phục hồi sẽ gợi ý rằng thị trường đang coi đây là một sự cố hoạt động hơn là một rủi ro cấu trúc.Rủi ro đối tác..
Rủi ro Frontend/Nhà cung cấp là một chế độ thất bại khác với rủi ro hợp đồng thông minh.
Tôi không coi đây là một câu chuyện về hợp đồng thông minh. Chế độ thất bại cốt lõi được mô tả ở đây là rủi ro chuỗi cung ứng web, nơi một phụ thuộc bị xâm phạm có thể biến một giao diện hợp pháp thành một bề mặt lừa đảo và đẩy người dùng vào việc ký nhượng tiền.
Ngưỡng quan trọng là việc thực thi: nếu Polymarket hoàn trả đầy đủ nhanh chóng và công bố một báo cáo rõ ràng sau sự cố để thu hẹp khoảng thời gian tiếp xúc, điều này trông giống như một chất xúc tác cảm xúc hơn là một sự thay đổi cơ bản. Nếu tổng số tổn thất tăng lên hoặc việc xử lý hoàn tiền kéo dài, thiết lập bắt đầu trông có vẻ cấu trúc hơn là dựa trên câu chuyện vì niềm tin vào giao diện là sản phẩm.
