預測市場平台 Polymarket 表示,一名第三方供應商遭駭客入侵,惡意程式碼被注入其網站,導致約 300 萬美元從用戶手中被盜。該事件目前已完全控制住,並正為受影響用戶全額退款。
Polymarket 揭露,其外部供應商之一遭到入侵,使攻擊者得以將惡意程式碼植入部分用戶的前端。遭竄改的腳本驅動了一場釣魚攻擊,誘騙受害者批准詐騙交易,進而將其連接的錢包資金洗劫一空。
「我們已控制住這起事件,」Polymarket 表示,並補充說他們已移除受影響的依賴項目,且「正全額退款給受害者」。該公司強調,其自身核心基礎設施與鏈上市場並未被入侵,弱點在於第三方供應商,其程式碼是透過 Polymarket 的網站提供。
區塊鏈安全公司 Peckshield 估計,約有超過 11 名受害者,損失約 300 萬美元。此外,這是一起典型的供應鏈漏洞攻擊,攻擊者並非直接攻擊平台系統,而是鎖定可信賴的供應商,以便觸及更大的目標。
圖片來源:X 由於惡意程式碼存在於網站前端而非底層的智能合約,此次攻擊影響了多數用戶實際互動的層面。載入受損頁面的訪客被提示簽署看似合法的交易,但實際上卻將資產控制權交給了攻擊者。
總而言之,鎖在 Polymarket 鏈上市場中的資金從未直接面臨風險,但批准了這些偽造交易的用戶,其錢包已被清空。
Polymarket 表示,他們正迅速處理退款,並逐一聯繫受害者,自行吸收源自外部的入侵成本(此舉可能旨在維持其快速增長用戶群的信任)。
此外,此次入侵正值預測市場蓬勃發展之際,Polymarket 與競爭對手 Kalshi 在四月共同創下月度紀錄。Polymarket 至今已處理超過 1 億筆交易,成為加密貨幣領域最活躍的平台之一。
觀察人士並未忽略這種增長規模,最終導致該平台近期部署 Chainalysis 監控工具,以維護市場誠信。與此同時,美國立法者已針對內線交易防護措施調查預測市場,一項共和黨法案試圖禁止國會議員及其家屬就政策結果進行押注。
六月的這起事件將營運安全問題加入了該份關注清單。此外,雖然退款承諾可能限制聲譽損害,但現實情況是,預測市場一如交易所和 DeFi 協議,正被視為高階攻擊者的獲利途徑。
156.48萬 熱度
23.32萬 熱度
34.42萬 熱度
56.07萬 熱度
98.34萬 熱度
Polymarket 確認駭客在第三方洩漏後從用戶盜取 300 萬美元
預測市場平台 Polymarket 表示,一名第三方供應商遭駭客入侵,惡意程式碼被注入其網站,導致約 300 萬美元從用戶手中被盜。該事件目前已完全控制住,並正為受影響用戶全額退款。
供應鏈攻擊,而非直接入侵
Polymarket 揭露,其外部供應商之一遭到入侵,使攻擊者得以將惡意程式碼植入部分用戶的前端。遭竄改的腳本驅動了一場釣魚攻擊,誘騙受害者批准詐騙交易,進而將其連接的錢包資金洗劫一空。
「我們已控制住這起事件,」Polymarket 表示,並補充說他們已移除受影響的依賴項目,且「正全額退款給受害者」。該公司強調,其自身核心基礎設施與鏈上市場並未被入侵,弱點在於第三方供應商,其程式碼是透過 Polymarket 的網站提供。
區塊鏈安全公司 Peckshield 估計,約有超過 11 名受害者,損失約 300 萬美元。此外,這是一起典型的供應鏈漏洞攻擊,攻擊者並非直接攻擊平台系統,而是鎖定可信賴的供應商,以便觸及更大的目標。
總而言之,鎖在 Polymarket 鏈上市場中的資金從未直接面臨風險,但批准了這些偽造交易的用戶,其錢包已被清空。
接下來會發生什麼
Polymarket 表示,他們正迅速處理退款,並逐一聯繫受害者,自行吸收源自外部的入侵成本(此舉可能旨在維持其快速增長用戶群的信任)。
此外,此次入侵正值預測市場蓬勃發展之際,Polymarket 與競爭對手 Kalshi 在四月共同創下月度紀錄。Polymarket 至今已處理超過 1 億筆交易,成為加密貨幣領域最活躍的平台之一。
觀察人士並未忽略這種增長規模,最終導致該平台近期部署 Chainalysis 監控工具,以維護市場誠信。與此同時,美國立法者已針對內線交易防護措施調查預測市場,一項共和黨法案試圖禁止國會議員及其家屬就政策結果進行押注。
六月的這起事件將營運安全問題加入了該份關注清單。此外,雖然退款承諾可能限制聲譽損害,但現實情況是,預測市場一如交易所和 DeFi 協議,正被視為高階攻擊者的獲利途徑。