Polymarket 週四遭遇安全漏洞,該預測市場平台宣布,駭客利用受入侵的第三方供應商發動攻擊。此次攻擊導致惡意程式碼注入 Polymarket 的前端,區塊鏈調查公司 Bubblemaps 指出,不到 15 個用戶帳戶遭竊約 300 萬美元的客戶資金。這起事件是 Polymarket 兩個月內第二次遭駭,上個月該公司因員工用於發放用戶獎勵的錢包遭入侵,損失約 70 萬美元。
駭客透過受入侵供應商注入惡意程式碼
Polymarket 在 X 平台上發文表示,攻擊者利用第三方供應商注入惡意程式碼至其網站前端。Polymarket 在被 Decrypt 詢問時拒絕透露是哪家供應商遭入侵。該漏洞讓駭客得以從存放 pUSD 的客戶錢包中盜取資金;pUSD 是 Polymarket 專用的美元錨定穩定幣,以 USDC 為擔保,用於平台所有交易。被盜資金隨後兌換為 ETH 並集中至一個以太坊錢包,截至發稿時仍留在該處。區塊鏈調查人員 Bubblemaps 識別出特定受影響錢包地址,認為潛在損害大致受到控制,受影響的用戶帳戶不到 15 個。
Polymarket 承諾全額退款給受影響用戶
Polymarket 宣布將全額退款給所有受影響客戶。該公司表示前端問題已受到控制並移除。Polymarket 並未說明將採取哪些措施來防止未來再發生涉及直接參與網站運作的第三方供應商的漏洞。
平台上月曾遭 70 萬美元入侵
上個月,Polymarket 遭遇另一起駭客攻擊,目標是公司員工用於加值及支付用戶獎勵的錢包。該公司表示,該次漏洞導致約 70 萬美元損失,很可能由私鑰遭竊所引起。當時安全專家指出,該事件看似未影響公司基礎設施,也未構成更大風險。這兩起漏洞顯示,即使核心協定保持安全,駭客仍能透過周邊弱點滲透主要平台。
常見問題
駭客在週四的漏洞中從 Polymarket 用戶那裡盜走多少錢?
根據區塊鏈調查公司 Bubblemaps 的說法,駭客從不到 15 個用戶帳戶中盜走約 300 萬美元的客戶資金。
週四 Polymarket 安全漏洞的原因是什麼?
該漏洞是因為駭客利用受入侵的第三方供應商,將惡意程式碼注入 Polymarket 網站前端,從而未經授權存取存放 pUSD 穩定幣的客戶錢包。
受駭的 Polymarket 用戶能否獲得退款?
Polymarket 宣布將全額退款給所有受影響客戶,並表示前端漏洞已受到控制並移除。
