
أكدت Polymarket أن المهاجمين اخترقوا موردًا خارجيًا واستخدموا هذا الوصول لحقن شفرة خبيثة في الواجهة الأمامية للمنصة، مما أدى إلى هجوم تصيد احتيالي استنزف ما يقدر بنحو 2.94 مليون دولار من المستخدمين.
كشفت Polymarket على X أنها أزالت التبعية المتأثرة، واحتوت الحادث، وستقوم بتعويض المستخدمين المتأثرين بالكامل.
قدر محلل البلوك تشين Specter أن الهجوم استنزف الأموال من 11 محفظة على الأقل بعد ظهور البرنامج النصي الخبيث في الواجهة الأمامية للمنصة.
صنف Specter الهجوم على أنه حملة تصيد احتيالي بدلاً من استغلال للبروتوكول. قال المحلل إن البرنامج النصي المحقون مكّن المهاجمين من سرقة الأموال من المحافظ المتصلة بعد تفاعل المستخدمين مع الواجهة المخترقة.
سجلت DefiLlama الحادث كالاختراق الأمني الثامن والثمانين للعملات المشفرة الذي تم الإبلاغ عنه في الربع الثاني، مما يجعله أعلى إجمالي ربع سنوي من حيث عدد الحوادث في سجلات المنصة.
أفادت DefiLlama أيضًا بخسائر بلغت 74.9 مليون دولار عبر 29 استغلالًا للعملات المشفرة خلال يونيو. تجاوز هذا الإجمالي 60.5 مليون دولار في مايو لكنه ظل أقل بكثير من 644 مليون دولار في أبريل.
أدرجت المنصة استغلال Humanity Protocol بقيمة 36 مليون دولار كأكبر هجوم في يونيو. وشملت الحوادث الرئيسية الأخرى استغلالًا بقيمة 4.7 مليون دولار يتعلق بجسر Secret Network، واثنين من الاستغلالات المنفصلة بقيمة 2.1 مليون دولار أثرت على Aztec، واستغلال جسر بقيمة 1.7 مليون دولار على Taiko.
أفادت DefiLlama أن اختراقات المفاتيح الخاصة شكلت 43% من خسائر الاستغلال على مدى الثلاثين يومًا الماضية. شكلت استغلالات الإثباتات المزيفة 10% من الخسائر، بينما شكلت مصائد MEV العكسية 8%.
كشفت Polymarket عن حادث أمني منفصل قبل حوالي شهر بعد أن استغل المهاجمون مفتاحًا خاصًا يعود تاريخه إلى ست سنوات، كان يُستخدم لعمليات التعبئة الداخلية، وسرقوا حوالي 600 ألف دولار.
أشار باحثو الأمن، بمن فيهم ZachXBT و PeckShield و Bubblemaps، في البداية إلى نشاط مشبوه يتعلق بعقد UMA CTF Adapter الخاص بـ Polymarket على Polygon. أفادت Bubblemaps أن المهاجمين سحبوا 5000 POL كل 30 ثانية قبل تقدير إجمالي الخسائر بحوالي 600 ألف دولار.
عزا مساهم بروتوكول Polymarket، شانتاكيران شانال، الحادث لاحقًا إلى محفظة مخترقة كانت تُستخدم لعمليات داخلية بدلاً من وجود ثغرة أمنية في عقود المنصة أو بنيتها التحتية الأساسية.
صرح جوش ستيفنز، نائب رئيس الهندسة في الشركة، في ذلك الوقت أن أموال المستخدمين والعقود الذكية ظلت آمنة وأن جميع الأذونات المرتبطة بالمفتاح المخترق قد تم إلغاؤها.