Polymarket hoàn tiền cho người dùng sau $3M vụ hack nhà cung cấp bên thứ ba

Polymarket đã bị tấn công bảo mật vào thứ Năm sau khi tin tặc khai thác một nhà cung cấp bên thứ ba bị xâm phạm, nền tảng dự đoán thị trường thông báo. Cuộc tấn công cho phép tiêm mã độc vào frontend của Polymarket, dẫn đến việc đánh cắp khoảng 3 triệu USD tiền của khách hàng từ dưới 15 tài khoản người dùng, theo công ty điều tra blockchain Bubblemaps. Sự cố này là vụ vi phạm bảo mật thứ hai của Polymarket trong hai tháng, sau một vụ khai thác trước đó vào tháng trước khiến công ty thiệt hại khoảng 700 nghìn USD từ một ví nhân viên bị xâm phạm dùng để thưởng cho người dùng.

Tin tặc tiêm mã độc thông qua nhà cung cấp bị xâm phạm

Những kẻ tấn công đã khai thác một nhà cung cấp bên thứ ba để tiêm mã độc vào frontend trang web của Polymarket, công ty cho biết trong một bài đăng trên X. Polymarket từ chối tiết lộ nhà cung cấp nào bị xâm phạm khi được Decrypt liên hệ. Vụ vi phạm cho phép tin tặc rút tiền từ ví của khách hàng chứa pUSD, một stablecoin neo theo đô la Mỹ dành riêng cho Polymarket được hỗ trợ bởi USDC, được sử dụng cho tất cả giao dịch trên nền tảng. Số tiền bị đánh cắp sau đó được chuyển đổi thành ETH và tập trung vào một ví Ethereum, nơi chúng vẫn còn tính đến thời điểm viết bài. Các nhà điều tra on-chain tại Bubblemaps đã xác định các địa chỉ ví bị ảnh hưởng cụ thể, kết luận rằng thiệt hại tiềm tàng phần lớn được kiểm soát với chưa đến 15 tài khoản người dùng bị ảnh hưởng.

Polymarket cam kết hoàn trả đầy đủ cho người dùng bị ảnh hưởng

Polymarket thông báo sẽ hoàn trả đầy đủ cho tất cả khách hàng bị ảnh hưởng. Công ty cho biết sự cố frontend đã được ngăn chặn và loại bỏ. Polymarket không nêu rõ các biện pháp sẽ triển khai để ngăn chặn các vụ khai thác trong tương lai liên quan đến nhà cung cấp bên thứ ba có liên quan trực tiếp đến hoạt động của trang web.

Nền tảng từng chịu vụ khai thác 700 nghìn USD vào tháng trước

Tháng trước, Polymarket đã hứng chịu một vụ hack riêng nhắm vào ví được nhân viên công ty sử dụng để nạp tiền và chi trả thưởng cho người dùng. Vụ khai thác đó gây thiệt hại khoảng 700 nghìn USD và có khả năng do lộ khóa riêng tư, theo công ty. Các chuyên gia bảo mật vào thời điểm đó cho biết sự cố không ảnh hưởng đến cơ sở hạ tầng của công ty hay gây ra rủi ro rộng hơn. Cả hai vụ khai thác đều cho thấy khả năng của tin tặc trong việc xâm nhập các nền tảng lớn thông qua các lỗ hổng ngoại vi ngay cả khi các giao thức cốt lõi vẫn an toàn.

FAQ

Tin tặc đã đánh cắp bao nhiêu từ người dùng Polymarket trong vụ khai thác thứ Năm?
Tin tặc đã đánh cắp khoảng 3 triệu USD tiền của khách hàng từ dưới 15 tài khoản người dùng, theo công ty điều tra blockchain Bubblemaps.

Nguyên nhân của vụ vi phạm bảo mật Polymarket vào thứ Năm là gì?
Vụ vi phạm xảy ra sau khi tin tặc khai thác một nhà cung cấp bên thứ ba bị xâm phạm để tiêm mã độc vào frontend trang web của Polymarket, cho phép truy cập trái phép vào ví của khách hàng chứa stablecoin pUSD.

Người dùng Polymarket bị ảnh hưởng bởi vụ hack có được hoàn tiền không?
Polymarket thông báo sẽ hoàn trả đầy đủ cho tất cả khách hàng bị ảnh hưởng và cho biết lỗ hổng frontend đã được ngăn chặn và loại bỏ.