Polymarket подтвердил кражу средств у части пользователей после компрометации стороннего поставщика. Через него злоумышленники смогли внедрить вредоносный код на сайт платформы. Компания заявила, что инцидент локализован, пострадавших пользователей уведомляют, а украденные средства им вернут полностью.
Сумму ущерба сама Polymarket публично не раскрыла. По оценкам ончейн-аналитиков и профильных медиа, речь может идти примерно о $3 млн. В разборе транзакций фигурируют более 11 пострадавших кошельков, pUSD в сети Polygon, последующий перевод средств в Ethereum и обмен в ETH. В отдельных публикациях называлась сумма около 1 893 ETH после обмена украденных активов.
Проблема была близка к supply chain-атаке на фронтенд — пользователь открывал легитимный сайт, но часть кода, загруженного через стороннюю зависимость или поставщика, уже работала против него.
Polymarket сообщил, что компрометация стороннего вендора позволила атакующим внедрить вредоносный код в сайт для части пользователей. Такой код мог подменять логику взаимодействия с кошельком: пользователь видел привычный интерфейс, но фактически подписывал операцию, которая уводила средства.
Это один из самых неприятных сценариев для криптосервисов. Смарт-контракты могут быть формально целыми, серверы платформы — не полностью захвачены, а пользователь всё равно теряет деньги. Достаточно, чтобы вредоносный JavaScript оказался между интерфейсом и кошельком.
Первые сообщения о проблеме появились 25 июня. Polymarket быстро заявил о локализации инцидента и пообещал компенсировать потери. В некоторых материалах указывается, что затронутая зависимость была удалена после обнаружения атаки.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.