Polymarket 週四證實,一家受入侵的第三方供應商讓攻擊者將惡意程式碼注入該預測市場的前端,盜走約 300 萬美元的用戶資金。該攻擊並非針對 Polymarket 的智慧合約,而是透過受入侵的供應商將惡意腳本提供給部分用戶的瀏覽器,該腳本存取了用戶的錢包,並轉走了平台以 USDC 為擔保的穩定幣 pUSD。供應鏈攻擊已成為加密領域中越來越具吸引力的攻擊途徑,因為這類攻擊完全繞過了經過審計的鏈上程式碼,直接攻擊用戶鮮少檢視的網站層和外部依賴。
攻擊者透過受入侵的供應商注入惡意腳本
受入侵的供應商將惡意腳本提供給部分用戶的瀏覽器,該腳本存取了用戶的錢包,並轉走了平台用於結算所有交易的 USDC 擔保穩定幣 pUSD。攻擊者隨後將被盜資金從 Polygon 橋接到以太坊,並將其兌換成大約 1,893 ETH,將所得資金集中到一個錢包中。由於惡意程式碼存在於網站而非區塊鏈上,受影響用戶幾乎無法察覺他們所信任的介面已被篡改。Polymarket 拒絕透露受入侵供應商的名稱,也未進一步評論。
少於 15 個帳戶受影響,承諾全額退款
Bubblemaps 的鏈上調查人員認為損害大致已獲控制,受影響的用戶帳戶少於 15 個。Polymarket 表示將全額退款給受影響的客戶,並確認前端問題已獲控制,受影響的依賴項已移除。有限的帳戶數量表明,在公司發現並移除惡意腳本之前,該腳本僅觸及了部分用戶。該公司在貼文中表示,他們於今早發現了受入侵的第三方供應商,已控制住漏洞並移除了受影響的依賴項。
Polymarket 兩個月內第二次遭入侵
此次入侵是 Polymarket 兩個月內的第二起事件。五月,一起涉及員工憑證遭入侵的錢包漏洞導致約 70 萬美元的損失,原因歸咎於私鑰洩露而非網站缺陷。這兩起事件共同指向營運與第三方風險,而非底層協定的弱點。前端與供應鏈攻擊完全繞過經過審計的智慧合約,直接打擊用戶鮮少檢視的網站層與外部依賴,隨著鏈上程式碼本身變得越來越難以破解,這種攻擊途徑已成為日益誘人的目標。
常見問題
導致 Polymarket 遭入侵並被盜走 300 萬美元用戶資金的原因是什麼?
一家受入侵的第三方供應商讓攻擊者有機可乘,將惡意程式碼注入 Polymarket 的前端。惡意腳本存取了部分用戶的瀏覽器,從他們的錢包中轉走 pUSD,並將被盜資金兌換成大約 1,893 ETH。該攻擊鎖定網站層,而非 Polymarket 的智慧合約。
有多少 Polymarket 用戶受到供應商入侵的影響?
Bubblemaps 的鏈上調查人員發現,少於 15 個帳戶受到惡意腳本影響。Polymarket 承諾全額退款給受影響的客戶,並確認前端問題已獲控制,受影響的依賴項已移除。
Polymarket 近期是否發生過其他安全事件?
五月,Polymarket 發生過另一起錢包漏洞事件,涉及員工憑證遭入侵,導致約 70 萬美元的損失。該事件歸咎於私鑰洩露而非網站缺陷,使得此次供應商入侵成為 Polymarket 兩個月內的第二起安全事件。
