Vụ vi phạm nhà cung cấp Polymarket đã rút $3M in tiền người dùng thông qua mã độc.

Polymarket xác nhận hôm thứ Năm rằng một nhà cung cấp bên thứ ba bị xâm phạm đã cho phép kẻ tấn công chèn mã độc vào giao diện người dùng của nền tảng dự đoán, rút khoảng 3 triệu USD tiền của người dùng. Cuộc tấn công không nhắm vào hợp đồng thông minh của Polymarket mà thay vào đó phục vụ một tập lệnh độc hại thông qua nhà cung cấp bị xâm phạm tới trình duyệt của một số người dùng, truy cập vào ví của họ và rút pUSD, stablecoin của nền tảng được hỗ trợ bởi USDC. Các cuộc tấn công chuỗi cung ứng đã trở thành một vector ngày càng hấp dẫn trong tiền điện tử vì chúng hoàn toàn vượt qua mã on-chain đã được kiểm toán, tấn công vào lớp website và các phụ thuộc bên ngoài mà người dùng hiếm khi kiểm tra.

Kẻ tấn công đã chèn tập lệnh độc hại thông qua nhà cung cấp bị xâm phạm

Nhà cung cấp bị xâm phạm đã phục vụ một tập lệnh độc hại tới trình duyệt của một số người dùng, truy cập vào ví của họ và rút pUSD, stablecoin của nền tảng được hỗ trợ bởi USDC dùng để thanh toán tất cả các giao dịch. Sau đó, kẻ tấn công đã cầu nối số tiền bị đánh cắp từ Polygon sang Ethereum và đổi chúng thành khoảng 1.893 ETH, gộp số tiền thu được vào một ví duy nhất. Bởi vì mã độc tồn tại trên website chứ không phải trên blockchain, những người dùng bị ảnh hưởng hầu như không có cách nào phát hiện ra giao diện mà họ tin tưởng đã bị can thiệp. Polymarket từ chối tiết lộ tên nhà cung cấp bị xâm phạm hoặc bình luận thêm.

Dưới 15 tài khoản bị ảnh hưởng, cam kết hoàn tiền đầy đủ

Các nhà điều tra on-chain tại Bubblemaps kết luận thiệt hại phần lớn được kiểm soát, với ít hơn 15 tài khoản người dùng bị ảnh hưởng. Polymarket cho biết sẽ hoàn tiền đầy đủ cho các khách hàng bị ảnh hưởng và xác nhận rằng sự cố giao diện người dùng đã được ngăn chặn và phụ thuộc bị ảnh hưởng đã được loại bỏ. Số lượng tài khoản hạn chế cho thấy tập lệnh độc hại chỉ tiếp cận một tập hợp con người dùng trước khi công ty phát hiện và loại bỏ nó. Công ty đã tuyên bố trong một bài đăng rằng họ đã phát hiện nhà cung cấp bên thứ ba bị xâm phạm vào sáng nay và đã ngăn chặn vi phạm và loại bỏ phụ thuộc bị ảnh hưởng.

Vụ vi phạm thứ hai của Polymarket trong hai tháng

Vụ vi phạm này là lần thứ hai của Polymarket trong hai tháng. Vào tháng 5, một vụ khai thác ví liên quan đến thông tin đăng nhập của nhân viên bị xâm phạm đã gây ra thiệt hại khoảng 700 nghìn USD, được cho là do thỏa hiệp khóa riêng chứ không phải lỗi website. Cùng nhau, hai sự cố chỉ ra rủi ro vận hành và bên thứ ba hơn là điểm yếu trong giao thức cơ bản. Các cuộc tấn công giao diện người dùng và chuỗi cung ứng hoàn toàn vượt qua các hợp đồng thông minh đã được kiểm toán, tấn công vào lớp website và các phụ thuộc bên ngoài mà người dùng hiếm khi kiểm tra, một vector đã trở thành mục tiêu ngày càng hấp dẫn khi mã on-chain ngày càng khó bẻ khóa.

FAQ

Nguyên nhân gây ra vụ vi phạm Polymarket làm thất thoát 3 triệu USD tiền của người dùng là gì?

Một nhà cung cấp bên thứ ba bị xâm phạm đã cho phép kẻ tấn công chèn mã độc vào giao diện người dùng của Polymarket. Tập lệnh độc hại đã truy cập vào trình duyệt của một số người dùng, rút pUSD từ ví của họ và chuyển đổi số tiền bị đánh cắp thành khoảng 1.893 ETH. Cuộc tấn công nhắm vào lớp website thay vì hợp đồng thông minh của Polymarket.

Có bao nhiêu người dùng Polymarket bị ảnh hưởng bởi vụ vi phạm nhà cung cấp?

Các nhà điều tra on-chain tại Bubblemaps phát hiện ít hơn 15 tài khoản bị ảnh hưởng bởi tập lệnh độc hại. Polymarket cam kết hoàn tiền đầy đủ cho các khách hàng bị ảnh hưởng và xác nhận rằng sự cố giao diện người dùng đã được ngăn chặn và phụ thuộc bị ảnh hưởng đã được loại bỏ.

Polymarket có gặp các sự cố bảo mật khác gần đây không?

Vào tháng 5, Polymarket đã gặp một vụ khai thác ví riêng biệt liên quan đến thông tin đăng nhập của nhân viên bị xâm phạm, dẫn đến thiệt hại khoảng 700 nghìn USD. Sự cố đó được cho là do thỏa hiệp khóa riêng chứ không phải lỗi website, khiến vụ vi phạm nhà cung cấp trở thành sự cố bảo mật thứ hai của Polymarket trong hai tháng.