На крипторынке очередной серьезный инцидент с безопасностью, который стоит взять на заметку всем, кто держит оборотку на рабочих кошельках. Популярная децентрализованная платформа прогнозов Polymarket официально подтвердила факт хакерской атаки. Злоумышленникам удалось увести криптовалюту пользователей прямо через веб-интерфейс. В этот раз никто не ломал сам блокчейн и не искал уязвимости в смарт-контрактах — хакеры реализовали классическую атаку на цепочку поставок (supply chain attack), внедрив вредоносный код через стороннего вендора, который отвечал за часть кода на фронтенде сайта.
Как технически реализовали слив балансов
Пока безопасность бэкенда оставалась на уровне, слабым местом оказался обычный браузерный интерфейс. Хакеры нашли дыру в софте подрядчика и подменили легитимный код на сайте Polymarket своим вредоносным скриптом.
Механика кражи средств работала без лишнего шума:
Вредоносный скрипт автоматически подгружался в браузер пользователя при посещении официального домена платформы.
Код инициировал запуск скрытого кошелька-дрейнера (wallet drainer) непосредственно во время активной сессии.
Система генерировала фиктивные запросы на подпись, подсовывая юзерам убыточные транзакции под видом стандартных действий.
После подтверждения со стороны пользователя все доступные токены моментально улетали на адреса злоумышленников.
Большинство пострадавших даже не поняли, что произошло, так как визуально интерфейс площадки не вызывал никаких подозрений, а сами запросы маскировались под привычные смарт-контракты сервиса.
Масштаб ущерба и реакция Polymarket
По данным аналитиков из PeckShield, которые первыми зафиксировали подозрительную активность, атака оказалась точечной, но крайне эффективной. Хакеры не стали распыляться на мелкие балансы, а сразу нацелились на крупные кошельки.
Схема ликвидации последствий инцидента выглядит следующим образом:
Блокировка левого софта: Представители сервиса оперативно выкатили фикс и полностью вырезали код стороннего вендора.
Подсчет чистых потерь: Злоумышленникам удалось опустошить всего 11 кошельков, но на общую сумму около 3 млн долларов.
Аудит интерфейса: Техническая команда платформы инициировала внеплановую проверку всех интеграций и внешних библиотек.
Выплата компенсаций: Менеджмент Polymarket официально заявил, что всем пострадавшим клиентам полностью возместят утерянные средства из резервных фондов.
На данный момент уязвимость полностью устранена, а веб-интерфейс работает в штатном режиме, однако репутационный удар по платформе уже нанесен.
Почему это важный звонок для крипто-арбитражников
Для команд и соло-байеров, которые крутят объемы в крипте, работают с крипто-офферами или льют iGaming с выплатами в коинах, этот кейс — жесткое напоминание о том, где именно сейчас кроются основные риски. Все привыкли проверять аудиты смарт-контрактов и надежность сетей, но часто забывают про банальный фронтенд. Если вы держите оборотный капитал на рабочих метамасках и постоянно подписываете транзакции на различных площадках, потерять капитал можно за один клик на абсолютно доверенном сайте.
Взлом Polymarket показал, что даже топовые децентрализованные сервисы с огромными бюджетами на кибербезопасность не могут полностью контролировать сторонний софт, взятый на аутсорс. При работе с большими бюджетами стоит внедрять жесткую гигиену: не держать всю оборотку на одном Web3-кошельке, использовать отдельные чистые профили в антидетектах для финансовых операций и внимательно проверять, какие именно разрешения запрашивает сайт при апруве транзакций.
👉🏻Следите за новостями в нашем telegram-канале — Новости Арбитража.

Нет комментариев.