Pelanggaran Vendor Polymarket Menguras Dana Pengguna $3M Melalui Kode Berbahaya

Polymarket mengonfirmasi pada Kamis bahwa vendor pihak ketiga yang dikompromikan memungkinkan penyerang menyuntikkan kode jahat ke front-end pasar prediksi, menguras dana pengguna sekitar 3 juta dolar AS. Serangan ini tidak menargetkan kontrak pintar Polymarket, melainkan menyajikan skrip jahat melalui vendor yang dikompromikan ke browser beberapa pengguna, yang mengakses dompet mereka dan menguras pUSD, stablecoin yang didukung USDC milik platform. Serangan rantai pasokan telah menjadi vektor yang semakin menarik di kripto karena sepenuhnya melewati kode on-chain yang diaudit, menyerang lapisan situs web dan dependensi eksternal yang jarang diperiksa pengguna.

Penyerang Menyuntikkan Skrip Jahat Melalui Vendor yang Dikompromikan

Vendor yang dikompromikan menyajikan skrip jahat ke browser beberapa pengguna, yang mengakses dompet mereka dan menguras pUSD, stablecoin yang didukung USDC milik platform yang digunakan untuk menyelesaikan semua perdagangan. Penyerang kemudian menjembatani dana curian dari Polygon ke Ethereum dan menukarnya menjadi sekitar 1.893 ETH, menggabungkan hasilnya dalam satu dompet. Karena kode jahat berada di situs web, bukan di blockchain, pengguna yang terdampak hampir tidak dapat mendeteksi bahwa antarmuka yang mereka percayai telah dirusak. Polymarket menolak menyebutkan vendor yang dikompromikan atau memberikan komentar lebih lanjut.

Kurang dari 15 Akun Terdampak, Janji Pengembalian Dana Penuh

Peneliti on-chain di Bubblemaps menyimpulkan bahwa kerusakan sebagian besar terkendali, dengan kurang dari 15 akun pengguna yang terdampak. Polymarket mengatakan akan mengembalikan dana penuh kepada pelanggan yang terdampak dan mengonfirmasi bahwa masalah front-end telah dikendalikan dan dependensi yang terdampak dihapus. Jumlah akun yang terbatas menunjukkan bahwa skrip jahat hanya menjangkau sebagian pengguna sebelum perusahaan menangkap dan menariknya. Perusahaan menyatakan dalam sebuah posting bahwa mereka menemukan vendor pihak ketiga yang dikompromikan pagi ini dan telah mengendalikan pelanggaran serta menghapus dependensi yang terdampak.

Pelanggaran Kedua Polymarket dalam Dua Bulan

Pelanggaran ini merupakan yang kedua bagi Polymarket dalam dua bulan. Pada bulan Mei, eksploitasi dompet yang melibatkan kredensial karyawan yang dikompromikan menyebabkan kerugian sekitar 700 ribu dolar AS, yang disebabkan oleh kompromi kunci privat, bukan cacat situs web. Bersama-sama, kedua episode ini menunjukkan risiko operasional dan pihak ketiga, bukan kelemahan pada protokol yang mendasarinya. Serangan front-end dan rantai pasokan sepenuhnya melewati kontrak pintar yang diaudit, menyerang lapisan situs web dan dependensi eksternal yang jarang diperiksa pengguna, sebuah vektor yang menjadi target semakin menarik karena kode on-chain sendiri semakin sulit diretas.

FAQ

Apa yang menyebabkan pelanggaran Polymarket yang menguras dana pengguna sebesar 3 juta dolar AS?

Vendor pihak ketiga yang dikompromikan memungkinkan penyerang menyuntikkan kode jahat ke front-end Polymarket. Skrip jahat tersebut mengakses browser beberapa pengguna, menguras pUSD dari dompet mereka, dan mengubah dana curian menjadi sekitar 1.893 ETH. Serangan ini menargetkan lapisan situs web, bukan kontrak pintar Polymarket.

Berapa banyak pengguna Polymarket yang terdampak oleh pelanggaran vendor?

Peneliti on-chain di Bubblemaps menemukan kurang dari 15 akun yang terdampak oleh skrip jahat. Polymarket berjanji akan mengembalikan dana penuh kepada pelanggan yang terdampak dan mengonfirmasi bahwa masalah front-end telah dikendalikan dan dependensi yang terdampak dihapus.

Apakah Polymarket mengalami insiden keamanan lainnya baru-baru ini?

Pada bulan Mei, Polymarket mengalami eksploitasi dompet terpisah yang melibatkan kredensial karyawan yang dikompromikan, menyebabkan kerugian sekitar 700 ribu dolar AS. Insiden tersebut disebabkan oleh kompromi kunci privat, bukan cacat situs web, menjadikan pelanggaran vendor ini sebagai insiden keamanan kedua Polymarket dalam dua bulan.