Polymarket підтвердив злам на 3 мільйони доларів через сторонній софт

114

На крипторинку черговий серйозний інцидент із безпекою, який варто взяти на замітку всім, хто тримає оборотку на робочих гаманцях. Популярна децентралізована платформа прогнозів Polymarket офіційно підтвердила факт хакерської атаки. Зловмисникам вдалося вивести криптовалюту користувачів прямо через веб-інтерфейс. Цього разу ніхто не ламав сам блокчейн і не шукав уразливості в смарт-контрактах — хакери реалізували класичну атаку на ланцюжок поставок (supply chain attack), впровадивши шкідливий код через стороннього вендора, який відповідав за частину коду на фронтенді сайту.

Як технічно реалізували злив балансів

Поки безпека бекенду залишалася на рівні, слабким місцем виявився звичайний браузерний інтерфейс. Хакери знайшли діру в софті підрядника і підмінили легітимний код на сайті Polymarket своїм шкідливим скриптом.

Механіка крадіжки коштів працювала без зайвого шуму:

  1. Шкідливий скрипт автоматично підвантажувався в браузер користувача при відвідуванні офіційного домену платформи.

  2. Код ініціював запуск прихованого гаманця-дрейнера (wallet drainer) безпосередньо під час активної сесії.

  3. Система генерувала фіктивні запити на підпис, підсовуючи юзерам збиткові транзакції під виглядом стандартних дій.

  4. Після підтвердження з боку користувача всі доступні токени моментально летіли на адреси зловмисників.

Більшість постраждалих навіть не зрозуміли, що сталося, оскільки візуально інтерфейс майданчика не викликав жодних підозр, а самі запити маскувалися під звичні смарт-контракти сервісу.

Масштаб збитків та реакція Polymarket

За даними аналітиків з PeckShield, які першими зафіксували підозрілу активність, атака виявилася точковою, але вкрай ефективною. Хакери не стали розпорошуватися на дрібні баланси, а одразу націлилися на великі гаманці.

Схема ліквідації наслідків інциденту виглядає наступним чином:

  • Блокування лівого софту: Представники сервісу оперативно викотили фікс і повністю вирізали код стороннього вендора.

  • Підрахунок чистих втрат: Зловмисникам вдалося спустошити всього 11 гаманців, але на загальну суму близько 3 млн доларів.

  • Аудит інтерфейсу: Технічна команда платформи ініціювала позапланову перевірку всіх інтеграцій та зовнішніх бібліотек.

  • Виплата компенсацій: Менеджмент Polymarket офіційно заявив, що всім постраждалим клієнтам повністю відшкодують втрачені кошти з резервних фондів.

Наразі уразливість повністю усунуто, а веб-інтерфейс працює в штатному режимі, проте репутаційного удару по платформі вже завдано.

Чому це важливий дзвінок для крипто-арбітражників

Для команд і соло-баєрів, які крутять обсяги в крипті, працюють із крипто-офферами або ллють iGaming з виплатами в коїнах, цей кейс — жорстке нагадування про те, де саме зараз криються основні ризики. Всі звикли перевіряти аудити смарт-контрактів і надійність мереж, але часто забувають про банальний фронтенд. Якщо ви тримаєте оборотний капітал на робочих метамасках і постійно підписуєте транзакції на різних майданчиках, втратити капітал можна за один клік на абсолютно довіреному сайті.

Злам Polymarket показав, що навіть топові децентралізовані сервіси з величезними бюджетами на кібербезпеку не можуть повністю контролювати сторонній софт, взятий на аутсорс. При роботі з великими бюджетами варто впроваджувати жорстку гігієну: не тримати всю оборотку на одному Web3-гаманці, використовувати окремі чисті профілі в антидетективах для фінансових операцій і уважно перевіряти, які саме дозволи запитує сайт при апруві транзакцій.

👉🏻Слідкуйте за новинами в нашому telegram-каналі — Новини Арбітражу.

Нема коментарів

Схожі новости

⇧ Наверх