Violação de fornecedor da Polymarket drena $3M in fundos de usuários via código malicioso

Polymarket confirmou na quinta-feira que um fornecedor terceirizado comprometido permitiu que invasores injetassem código malicioso no front-end do mercado de previsões, drenando cerca de US$ 3 milhões em fundos de usuários. O ataque não visou os contratos inteligentes da Polymarket, mas sim serviu um script malicioso por meio do fornecedor comprometido para os navegadores de alguns usuários, que acessaram suas carteiras e drenaram pUSD, a stablecoin lastreada em USDC da plataforma. Ataques à cadeia de suprimentos tornaram-se um vetor cada vez mais atraente em criptomoedas, pois contornam completamente o código on-chain auditado, atingindo a camada do site e dependências externas que os usuários raramente examinam.

Invasores Injetaram Script Malicioso Através de Fornecedor Comprometido

O fornecedor comprometido serviu um script malicioso para os navegadores de alguns usuários, que acessaram suas carteiras e drenaram pUSD, a stablecoin lastreada em USDC da plataforma usada para liquidar todas as negociações. Os invasores então transferiram os fundos roubados da Polygon para a Ethereum e os trocaram por cerca de 1.893 ETH, consolidando os lucros em uma única carteira. Como o código malicioso estava no site e não na blockchain, os usuários afetados tinham pouca forma de detectar que a interface em que confiavam havia sido adulterada. A Polymarket se recusou a nomear o fornecedor comprometido ou comentar mais.

Menos de 15 Contas Afetadas, Reembolsos Totais Prometidos

Investigadores on-chain da Bubblemaps concluíram que os danos foram amplamente contidos, com menos de 15 contas de usuários afetadas. A Polymarket afirmou que reembolsará os clientes impactados integralmente e confirmou que o problema no front-end foi contido e a dependência afetada removida. O número limitado de contas sugere que o script malicioso atingiu apenas um subconjunto de usuários antes que a empresa o detectasse e o removesse. A empresa declarou em uma postagem que descobriu o fornecedor terceirizado comprometido esta manhã e conteve a violação e removeu a dependência afetada.

Segundo Vazamento da Polymarket em Dois Meses

O vazamento foi o segundo da Polymarket em dois meses. Em maio, um exploit de carteira envolvendo credenciais de funcionários comprometidas levou a cerca de US$ 700 mil em perdas, atribuído a um comprometimento de chave privada, e não a uma falha no site. Juntos, os dois episódios apontam para risco operacional e de terceiros, e não para fraquezas no protocolo subjacente. Ataques de front-end e de cadeia de suprimentos contornam completamente os contratos inteligentes auditados, atingindo a camada do site e dependências externas que os usuários raramente examinam, um vetor que se tornou um alvo cada vez mais atraente à medida que o próprio código on-chain se torna mais difícil de quebrar.

FAQ

O que causou o vazamento da Polymarket que drenou US$ 3 milhões em fundos de usuários?

Um fornecedor terceirizado comprometido permitiu que invasores injetassem código malicioso no front-end da Polymarket. O script malicioso acessou os navegadores de alguns usuários, drenou pUSD de suas carteiras e converteu os fundos roubados em aproximadamente 1.893 ETH. O ataque teve como alvo a camada do site, e não os contratos inteligentes da Polymarket.

Quantos usuários da Polymarket foram afetados pelo vazamento do fornecedor?

Investigadores on-chain da Bubblemaps descobriram que menos de 15 contas foram afetadas pelo script malicioso. A Polymarket se comprometeu a reembolsar integralmente os clientes impactados e confirmou que o problema no front-end foi contido e a dependência afetada removida.

A Polymarket sofreu outros incidentes de segurança recentemente?

Em maio, a Polymarket sofreu um exploit de carteira separado envolvendo credenciais de funcionários comprometidas, que levou a cerca de US$ 700 mil em perdas. Esse incidente foi atribuído a um comprometimento de chave privada, e não a uma falha no site, tornando o vazamento do fornecedor o segundo incidente de segurança da Polymarket em dois meses.