پولی‌مارکت پس از سرقت ۳ میلیون دلار توسط هکرها در حمله به فرانت‌اند، به کاربران بازپرداخت می‌کند

پلی‌مارکت روز جمعه تأیید کرد که یک فروشنده شخص ثالث که امنیتش به خطر افتاده بود، به مهاجمان اجازه داد تا کد مخربی را به رابط کاربری آن تزریق کنند و حدود ۳ میلیون دلار از کمتر از ۱۵ حساب کاربری را تخلیه کردند.

این پلتفرم اعلام کرد که به طور کامل به همه کاربران آسیب‌دیده بازپرداخت خواهد کرد.

چه اتفاقی افتاد

این حمله اولین بار توسط پژوهشگر امنیت زنجیره‌ای به نام Specter شناسایی شد که اعلام کرد یک کمپین فیشینگ ظاهری، وجوه بیش از ۱۱ کیف پول قربانی که دارای استیبل‌کوین PUSD پلی‌مارکت بودند را تخلیه کرده است.

در آن زمان، آن‌ها میزان ضرر را ۲.۹۴ میلیون دلار تخمین زدند و پک‌شیلد به زودی این رقم را تأیید کرد و اشاره کرد که مهاجم وجوه سرقت‌شده را از پالیگان به اتریوم منتقل کرده و آن‌ها را به ۱۸۹۳ اتریوم تبدیل کرده است.

بازار پیش‌بینی نقض امنیتی را از طریق یکی از حساب‌های رسمی خود، Polymarket Traders، تأیید کرد.

«امروز صبح متوجه شدیم که یک فروشنده شخص ثالث به خطر افتاده و اسکریپت مخربی را برای برخی کاربران به رابط کاربری ما تزریق کرده است. ما آن را مهار کرده و وابستگی آسیب‌دیده را حذف کردیم.» این پیام در X منتشر شد. «در حال تماس با کاربران آسیب‌دیده هستیم و به طور کامل به آن‌ها بازپرداخت می‌کنیم.»

ویلیام لگیت، که همکاری نزدیکی با این پلتفرم دارد، خبر جبران خسارت را تکرار کرد و تأکید کرد که مشکل حل شده و کاربران آسیب‌دیده پول خود را به طور کامل پس خواهند گرفت.

یک حساب امنیت بلاکچین دیگر به نام GoPlus Security این حادثه را به عنوان یک حمله زنجیره تأمین توصیف کرد. این حساب اعلام کرد که کد مخرب حدود ۱۵ حساب را تحت تأثیر قرار داده و مجموع ضررها به ۳ میلیون دلار رسیده است؛ نتیجه‌ای که Bubblemaps نیز به آن رسید و واکنش پلی‌مارکت پس از مهار ضررها را ستود.

یک مشکل تکراری

این اولین بار نیست که پلی‌مارکت هدف حمله قرار می‌گیرد. ماه گذشته، این پلتفرم از نقض امنیتی دیگری خبر داد که در آن یک کیف پول ادمین مورد استفاده برای شارژ پاداش کارمندان، حدود ۷۰۰ هزار دلار تخلیه شد که احتمالاً به دلیل افشای کلید خصوصی بوده است. در ابتدا، کارآگاه رمزارز ZachXBT میزان ضرر را حدود ۵۲۰ هزار دلار تخمین زد و Bubblemaps پس از ردیابی وجوه در چندین آدرس، رقم بالاتری را اعلام کرد.

توسعه‌دهنده جاش استیونز در آن زمان تأیید کرد که یک کلید خصوصی ۶ ساله از طریق پیکربندی داخلی افشا شده و شرکت از آن زمان اعتبارنامه‌ها را تغییر داده و به سرویس‌های مدیریت کلید منتقل شده است. با این حال، آن حادثه به وجوه کاربران یا قراردادهای اصلی آسیبی نرساند.

اگرچه این دو حادثه روش‌های حمله متفاوتی داشتند، اما هر دو سیستم‌هایی خارج از بازارهای پیش‌بینی پلی‌مارکت را هدف قرار دادند. علاوه بر این، آخرین حادثه در زمانی رخ داده که این پلتفرم با چالش‌های اعتباری دیگری نیز روبروست، از جمله گزارشی اخیر از وال استریت ژورنال که ادعا کرده بود این پلتفرم به سازندگان جوان بین ۲۰۰۰ تا ۳۰۰۰ دلار در ماه پرداخت کرده تا ویدیوهایی از شرط‌بندی‌های ساختگی روی نسخه‌های آزمایشی وب‌سایت پلی‌مارکت منتشر کنند، در حالی که حتی یکی از بیش از ۱۱۰۰ کلیپ به فعالیت واقعی بلاکچین قابل ردیابی نبوده است.

همچنین در اوایل این ماه جنجال دیگری رخ داد که یک معامله‌گر ادعا کرد که پس از آنکه سرویس پیش‌بینی ظاهراً قوانین حل‌وفصل یک بازار مرتبط با فروش بیت‌کوین استراتژی را تغییر داده، ۵۰۰ هزار دلار ضرر کرده است.