
Polymarket تایید کرده است که مهاجمان یک فروشنده شخص ثالث را به خطر انداختهاند و از این دسترسی برای تزریق کد مخرب به فرانتاند (رابط کاربری) پلتفرم استفاده کردهاند که منجر به یک حمله فیشینگ شد و حدود ۲.۹۴ میلیون دلار از کاربران به سرقت برد.
Polymarket در X (توییتر سابق) افشا کرد که وابستگی آسیبدیده را حذف کرده، حادثه را مهار نموده و به کاربران متاثر بهطور کامل غرامت پرداخت خواهد کرد.
تحلیلگر بلاکچین، اسپکتر، تخمین زد که این حمله پس از ظهور اسکریپت مخرب در فرانتاند پلتفرم، وجوه را از حداقل ۱۱ کیف پول به سرقت برد.
اسپکتر این حمله را یک کمپین فیشینگ دانست تا یک اکسپلویت پروتکل. این تحلیلگر گفت که اسکریپت تزریق شده، مهاجمان را قادر ساخت تا پس از تعامل کاربران با رابط کاربری به خطر افتاده، وجوه را از کیف پولهای متصل به سرقت ببرند.
دیفایلاما این حادثه را به عنوان هشتاد و نهمین نقض امنیتی کریپتو گزارششده در سهماهه دوم ثبت کرد و آن را به بالاترین تعداد حادثه فصلی در سوابق این پلتفرم تبدیل کرد.
دیفایلاما همچنین گزارش داد که در ماه ژوئن، ۷۴.۹ میلیون دلار خسارت در ۲۹ اکسپلویت کریپتو رخ داده است. این مجموع از ۶۰.۵ میلیون دلار ماه مه بیشتر بود اما بسیار کمتر از ۶۴۴ میلیون دلار آوریل باقی ماند.
این پلتفرم، اکسپلویت ۳۶ میلیون دلاری پروتکل Humanity را به عنوان بزرگترین حمله ماه ژوئن فهرست کرد. سایر حوادث مهم شامل یک اکسپلویت ۴.۷ میلیون دلاری مربوط به بریج Secret Network، دو اکسپلویت ۲.۱ میلیون دلاری جداگانه که آزتک را تحت تاثیر قرار دادند، و یک اکسپلویت بریج ۱.۷ میلیون دلاری در Taiko بود.
دیفایلاما گزارش داد که در ۳۰ روز گذشته، به خطر افتادن کلیدهای خصوصی ۴۳% از خسارات اکسپلویت را تشکیل داده است. اکسپلویتهای "اثبات جعلی" ۱۰% از خسارات را به خود اختصاص دادند، در حالی که "هانیپاتهای MEV معکوس" ۸% را شامل شدند.
Polymarket حدود یک ماه پیش یک حادثه امنیتی جداگانه را افشا کرد، پس از اینکه مهاجمان یک کلید خصوصی شش ساله را که برای عملیات داخلی شارژ استفاده میشد، اکسپلویت کردند و حدود ۶۰۰,۰۰۰ دلار به سرقت بردند.
محققان امنیتی، از جمله ZachXBT، PeckShield و Bubblemaps، در ابتدا فعالیت مشکوکی را در قرارداد UMA CTF Adapter Polymarket در Polygon نشان دادند. Bubblemaps گزارش داد که مهاجمان هر ۳۰ ثانیه ۵,۰۰۰ توکن POL را برداشت میکردند، قبل از اینکه مجموع خسارات را تقریباً ۶۰۰,۰۰۰ دلار تخمین بزند.
شانتیکیران چانال، مشارکتکننده پروتکل Polymarket، بعدها آن حادثه را به یک کیف پول به خطر افتاده که برای عملیات داخلی استفاده میشد، نسبت داد تا یک آسیبپذیری در قراردادها یا زیرساخت اصلی پلتفرم.
جاش استیونز، معاون مهندسی شرکت، در آن زمان اظهار داشت که وجوه کاربران و قراردادهای هوشمند ایمن باقی ماندهاند و تمام مجوزهای مرتبط با کلید به خطر افتاده لغو شدهاند.