Polymarket 周四遭遇安全漏洞,该预测市场平台宣布,黑客利用了一个受入侵的第三方供应商。据区块链调查公司 Bubblemaps 称,攻击使恶意代码注入到 Polymarket 的前端,导致从少于 15 个用户账户中窃取了约 300 万美元的客户资金。这起事件是 Polymarket 两个月内第二次安全漏洞,此前上个月一次漏洞导致公司因一个用于用户奖励的员工钱包被入侵而损失约 70 万美元。
黑客通过受入侵的供应商注入恶意代码
该公司在 X 上发帖称,攻击者利用了一个第三方供应商,向 Polymarket 网站前端注入恶意代码。当 Decrypt 联系时,Polymarket 拒绝透露哪个供应商被入侵。该漏洞使黑客能够从包含 pUSD 的客户钱包中抽走资金,pUSD 是一种 Polymarket 特定、由 USDC 支持的挂钩美元稳定币,用于所有平台交易。被盗资金随后被转换为 ETH 并整合到一个以太坊钱包中,截至撰写本文时仍在那里。Bubblemaps 的链上调查人员识别了特定受影响的钱包地址,得出结论认为潜在损害基本得到控制,少于 15 个用户账户受到影响。
Polymarket 承诺全额退款给受影响用户
Polymarket 宣布将全额退款给所有受影响的客户。该公司表示,前端问题已被控制并移除。Polymarket 未说明将采取哪些措施以防止未来涉及直接参与网站运营的第三方供应商的漏洞。
平台上月遭受 70 万美元漏洞
上个月,Polymarket 遭受了一次单独的黑客攻击,目标是公司员工用于充值和支持用户奖励的钱包。据该公司称,该漏洞导致约 70 万美元的损失,很可能由私钥泄露引起。安全专家当时表示,该事件似乎未影响公司基础设施或构成更广泛风险。两次漏洞均表明,即使核心协议保持安全,黑客也能通过外围漏洞渗透主要平台。
常见问题
周四漏洞中黑客从 Polymarket 用户那里窃取了多少钱?
据区块链调查公司 Bubblemaps 称,黑客从少于 15 个用户账户中窃取了约 300 万美元的客户资金。
周四 Polymarket 安全漏洞的原因是什么?
该漏洞发生在黑客利用一个受入侵的第三方供应商,向 Polymarket 网站前端注入恶意代码,从而能够未经授权访问包含 pUSD 稳定币的客户钱包。
受黑客攻击的 Polymarket 用户是否会获得退款?
Polymarket 宣布将全额退款给所有受影响的客户,并表示前端漏洞已被控制并移除。
