Polymarket зазнав $700K використання: що ми знаємо і чому експерти кажуть, що це могло бути гірше

Polymarket зазнав атаки раніше у п’ятницю після того, як експлуатація контракту зняла понад 600 000 доларів у криптовалюті. Незважаючи на масштаб крадіжки, кілька аналітиків з безпеки підкреслили, що кошти користувачів і результати ринку не були порушені

Один експерт навіть стверджував, що інцидент міг бути значно гіршим, якби були використані додаткові контролі у скомпрометованому контракті.

Атака на Polymarket

Згідно з висновками слідчого ZacXBT щодо цього питання, він вказав на підозрювану експлуатацію, що стосувалася контракту Polymarket’s UMA CTF Adapter на Polygon (POL). На момент повідомлення загальна сума, пов’язана з експлуатацією, зросла майже до 700 000 доларів

Розбір того, як працювала експлуатація, пізніше детально описав експерт з безпеки Ox Abdul. У своєму поясненні він зазначив, що перший ключовий момент полягає в тому, що сума USDC — понад 600 000 доларів — була одноразовим зняттям із конкретного гаманця на Polygon, ідентифікованого як 0x8F98, адміністратор UMA CTF Adapter.

Ox Abdul також описав, як автоматизація Polymarket, здається, сприяла механіці експлуатації. Він сказав, що система поповнення Polymarket повторно надсилала приблизно кожні 30 секунд 5000 POL, щоб підтримувати фінансування оракула газового гаманця

Замість однієї крадіжки, зловмисник чекав кожного поповнення і потім обчищав його приблизно за 120 циклів протягом близько 70 хвилин, що він оцінив у приблизно 600 000 POL

Важливо, що подальші втрати POL у цьому акаунті були пов’язані з тим, наскільки швидко відбувалося виявлення та реагування Polymarket. Експлуатацію в кінцевому підсумку зупинили після ротації ключів.

Як експлуатація могла бути гіршою

Після зняття поповнень Ox Abdul сказав, що зловмисник потім вийшов через 16 підадрес із використанням ChangeNOW. Навіть із обмеженими збитками, він попередив, що ситуація має потенційні ознаки тривоги, окрім самого крадіжки

На його думку, скомпрометований адміністраторський гаманець не лише тримав USDC і POL; він також мав права “resolveManually” на UMA Adapter. Ці ручні дозволи, пояснив він, могли обійти оракул і дозволити зловмиснику примусово визначати будь-який результат ринку на Polymarket.

Ox Abdul окреслив, яким могло виглядати “гірше” в практичних термінах. Він сказав, що зловмисник міг зайняти великі позиції у конкретних ринках, потім позначити ці ринки для ручного вирішення, почекати приблизно годинний безпечний період і нарешті використати resolveManually для вирішення ринків на користь своїх позицій

Після інциденту Джош Стівенс, провідний розробник Polymarket, пізніше надав додатковий контекст через соціальні мережі. Стівенс приписав проблему скомпрометованому приватному ключу, що був дійсним протягом 6 років, пояснивши, що він був включений у внутрішню конфігурацію поповнення — тож кошти надсилалися на цей ключ, поки він залишався активним

Він додав, що ключ був ротаційований, всі виробничі дозволи скасовані, і компанія переходить до управління всіма приватними ключами через KMS.

Запуск федерального розслідування

Поки технічний інцидент розгортався, Polymarket також стикався з регуляторним наглядом у п’ятницю. Як повідомляв Bitcoinist, представник Джеймс Комер, голова Комітету з нагляду та реформ уряду Палати представників, оголосив про формальне розслідування платформ прогнозних ринків Polymarket і Kalshi

Комер заявив, що комітет шукає інформацію від генеральних директорів обох компаній щодо їхніх зусиль запобігти внутрішній торгівлі на їхніх платформах

У своєму листі він запросив документи та деталі щодо того, як обидві платформи реалізують ідентифікацію користувачів для внутрішніх та міжнародних акаунтів, застосовують географічні обмеження та виявляють аномальну торгівельну активність для запобігання внутрішній торгівлі по всьому світу

У окремому розвитку Bloomberg повідомив, що Polymarket призначив представника в Японії, готуючись лобіювати дозвіл на прогнозні ринки в цій країні. За даними джерел у звіті, мета Polymarket — отримати урядове схвалення в Японії до 2030 року.

Видання зображення створено за допомогою OpenArt, графік з TradingView.com