Polymarket potwierdziło, że atakujący skompromitowali dostawcę zewnętrznego i wykorzystali dostęp do wstrzyknięcia złośliwego kodu do frontendu platformy, co doprowadziło do ataku phishingowego, który pozbawił użytkowników szacunkowo 2,94 miliona dolarów.
Polymarket ujawniło na X, że usunęło dotkniętą zależność, opanowało incydent i w pełni zrekompensuje straty poszkodowanym użytkownikom.
Analityk blockchain Specter oszacował, że atak opróżnił środki z co najmniej 11 portfeli po tym, jak złośliwy skrypt pojawił się we frontendzie platformy.
Specter zidentyfikował atak jako kampanię phishingową, zamiast exploita protokołu. Analityk stwierdził, że wstrzyknięty skrypt umożliwił atakującym kradzież środków z podłączonych portfeli po tym, jak użytkownicy weszli w interakcję ze skompromitowanym interfejsem.
DefiLlama odnotowało ten incydent jako 89. zgłoszone naruszenie bezpieczeństwa kryptowalut w drugim kwartale, co czyni go najwyższym kwartalnym wynikiem pod względem liczby incydentów w rejestrach platformy.
DefiLlama poinformowało również o stratach w wysokości 74,9 miliona dolarów z powodu 29 exploitów kryptowalutowych w czerwcu. Ta suma przekroczyła 60,5 miliona dolarów z maja, ale pozostała znacznie poniżej 644 milionów dolarów z kwietnia.
Platforma wymieniła exploit protokołu Humanity o wartości 36 milionów dolarów jako największy atak w czerwcu. Inne poważne incydenty obejmowały exploit o wartości 4,7 miliona dolarów związany z mostem Secret Network, dwa oddzielne exploity o wartości 2,1 miliona dolarów wpływające na Aztec, oraz exploit mostu o wartości 1,7 miliona dolarów na Taiko.
DefiLlama podało, że kompromitacje kluczy prywatnych stanowiły 43% strat z exploitów w ciągu ostatnich 30 dni. Exploity związane z fałszywymi dowodami stanowiły 10% strat, a pułapki reverse MEV honeypots odpowiadały za 8%.
Polymarket ujawniło osobny incydent bezpieczeństwa około miesiąc wcześniej po tym, jak atakujący wykorzystali sześcioletni klucz prywatny używany do wewnętrznych operacji doładowań i ukradli około 600 000 dolarów.
Badacze bezpieczeństwa, w tym ZachXBT, PeckShield i Bubblemaps, początkowo zgłosili podejrzaną aktywność związaną z kontraktem UMA CTF Adapter Polymarketu na Polygonie. Bubblemaps poinformowało, że atakujący wypłacali 5000 POL co 30 sekund, zanim oszacowali całkowite straty na około 600 000 dolarów.
Współpracownik protokołu Polymarket, Shantikiran Chanal, później przypisał ten incydent skompromitowanemu portfelowi używanemu do wewnętrznych operacji, zamiast podatności w kontraktach platformy lub podstawowej infrastrukturze.
Josh Stevens, wiceprezes ds. inżynierii w firmie, stwierdził wówczas, że fundusze użytkowników i smart kontrakty pozostały bezpieczne oraz że wszystkie uprawnienia powiązane ze skompromitowanym kluczem zostały cofnięte.
