预测市场平台Polymarket表示,黑客通过入侵第三方供应商并在其网站注入恶意代码,从用户手中盗走了约300万美元。事件目前已完全控制,并正为受影响用户全额退款。
Polymarket披露,其一个外部供应商遭到入侵,攻击者得以将恶意代码注入其部分用户的前端界面。被篡改的脚本发起了一场钓鱼活动,诱骗受害者批准欺诈性交易,从而从其关联钱包中抽走资金。
“我们已控制住事件,”Polymarket表示,并补充称已移除受影响的依赖项,且“正在全额退款”。该公司强调,其自身的核心基础设施和链上市场并未遭到入侵,薄弱环节是第三方供应商,其代码通过Polymarket的网站提供。
区块链安全公司Peckshield估计,损失约为300万美元,涉及超过11名受害者。此外,此次攻击是一次典型的供应链入侵,攻击者以可信供应商为目标,进而触及更大的平台,而非直接攻击该平台的系统。
图片来源:X 由于恶意代码存在于网站前端而非底层智能合约中,此次攻击击中了大多数用户实际交互的层面。加载被入侵页面的访客被提示签署看似合法的交易,但实际上却将资产控制权拱手交给了攻击者。
总之,锁定在Polymarket链上市场中的资金从未直接面临风险,但批准了伪冒交易的用户却看到自己的钱包被清空。
Polymarket表示,正在逐一联系受害者,并迅速处理退款,承担源自其外部漏洞的损失(此举很可能旨在维护其快速增长用户群中的信任)。
此外,此次入侵发生在预测市场蓬勃发展的时期,Polymarket与竞争对手Kalshi共同推动了四月的创纪录月份。仅Polymarket至今就已处理超过1亿笔交易,使其成为加密货币中最活跃的交易场所之一。
这一增长规模并未逃脱观察者的目光,导致该平台近期部署了Chainalysis监控工具以维护市场诚信。与此同时,美国立法者已针对预测市场的内幕交易保障措施展开调查,一项共和党法案试图禁止国会议员及其家人对政策结果进行投注。
六月的这一事件将运营安全列入了担忧清单。而且,尽管退款承诺可能限制声誉损害,但现实仍然是,预测市场——如同交易所和DeFi协议一样——正被视为精明攻击者的有利可图途径。
156.48万 热度
23.32万 热度
34.41万 热度
56.07万 热度
98.34万 热度
Polymarket确认黑客在第三方泄露后从用户处盗取了300万美元
预测市场平台Polymarket表示,黑客通过入侵第三方供应商并在其网站注入恶意代码,从用户手中盗走了约300万美元。事件目前已完全控制,并正为受影响用户全额退款。
供应链攻击,而非直接入侵
Polymarket披露,其一个外部供应商遭到入侵,攻击者得以将恶意代码注入其部分用户的前端界面。被篡改的脚本发起了一场钓鱼活动,诱骗受害者批准欺诈性交易,从而从其关联钱包中抽走资金。
“我们已控制住事件,”Polymarket表示,并补充称已移除受影响的依赖项,且“正在全额退款”。该公司强调,其自身的核心基础设施和链上市场并未遭到入侵,薄弱环节是第三方供应商,其代码通过Polymarket的网站提供。
区块链安全公司Peckshield估计,损失约为300万美元,涉及超过11名受害者。此外,此次攻击是一次典型的供应链入侵,攻击者以可信供应商为目标,进而触及更大的平台,而非直接攻击该平台的系统。
总之,锁定在Polymarket链上市场中的资金从未直接面临风险,但批准了伪冒交易的用户却看到自己的钱包被清空。
下一步计划
Polymarket表示,正在逐一联系受害者,并迅速处理退款,承担源自其外部漏洞的损失(此举很可能旨在维护其快速增长用户群中的信任)。
此外,此次入侵发生在预测市场蓬勃发展的时期,Polymarket与竞争对手Kalshi共同推动了四月的创纪录月份。仅Polymarket至今就已处理超过1亿笔交易,使其成为加密货币中最活跃的交易场所之一。
这一增长规模并未逃脱观察者的目光,导致该平台近期部署了Chainalysis监控工具以维护市场诚信。与此同时,美国立法者已针对预测市场的内幕交易保障措施展开调查,一项共和党法案试图禁止国会议员及其家人对政策结果进行投注。
六月的这一事件将运营安全列入了担忧清单。而且,尽管退款承诺可能限制声誉损害,但现实仍然是,预测市场——如同交易所和DeFi协议一样——正被视为精明攻击者的有利可图途径。