Polymarket ستعيد أموال المستخدمين بعد أن سرق المتسللون 3 ملايين دولار في هجوم الواجهة الأمامية

وأكدت Polymarket يوم الجمعة أن بائع طرف ثالث مخترق سمح للمهاجمين بحقن تعليمات برمجية ضارة في الواجهة الأمامية، مما أدى إلى استنزاف حوالي 3 ملايين دولار من أقل من 15 حساب مستخدم.

تقول المنصة إنها ستعيد أموال جميع المستخدمين المتأثرين بالكامل.

ماذا حدث

تم الإبلاغ عن الهجوم لأول مرة من قبل الباحث الأمني ​​على السلسلة سبيكتر، الذي نشر أن حملة تصيد احتيالي واضحة قد استنزفت الأموال من أكثر من 11 محفظة ضحية تحتوي على عملة بوليماركت PUSD المستقرة.

في ذلك الوقت، قدروا الخسائر بمبلغ 2.94 مليون دولار، مع تأكيد PeckShield الرقم بعد فترة وجيزة وأشار إلى أن المهاجم قام بتحويل الأموال المسروقة من Polygon إلى Ethereum وتحويلها إلى 1,893 ETH.

واعترف سوق التنبؤ بالاختراق من خلال أحد حساباته الرسمية، وهو Polymarket Traders.

“لقد اكتشفنا هذا الصباح أن بائعًا تابعًا لجهة خارجية قد تم اختراقه، حيث قام بحقن برنامج نصي ضار في الواجهة الأمامية لدينا لبعض المستخدمين. لقد قمنا باحتوائه وإزالة التبعية المتأثرة،” كتب على X. “نحن نتصل بالمستخدمين المتأثرين ونعيد لهم أموالهم بالكامل.”

وردد William LeGate، الذي يعمل بشكل وثيق مع المنصة، الأخبار المتعلقة بالتعويض، مكررًا أنه تم حل المشكلة وأن المستخدمين المتأثرين سيستردون أموالهم بالكامل.

ووصف حساب أمان بلوكتشين آخر، GoPlus Security، الحادث بأنه هجوم على سلسلة التوريد. وقالت إن الشفرة الخبيثة أثرت على حوالي 15 حسابًا، وبلغ إجمالي الخسائر 3 ملايين دولار، وهو الاستنتاج الذي توصلت إليه شركة Bubblemaps أيضًا، التي أشادت باستجابة Polymarket بعد احتواء الخسائر.

مشكلة متكررة

وهذه ليست المرة الأولى التي تتعرض فيها شركة Polymarket للضربة. في الشهر الماضي، كشفت المنصة عن اختراق آخر تم فيه استنزاف حوالي 700 ألف دولار من محفظة المشرف المستخدمة لزيادة مكافآت الموظفين، ومن المحتمل أن يكون ذلك من خلال اختراق المفتاح الخاص. في البداية، قدر محقق العملات المشفرة ZachXBT الخسائر بنحو 520 ألف دولار، مع نقل Bubblemaps لاحقًا الرقم الأعلى بعد تتبع الأموال عبر عدة عناوين.

أكد المطور جوش ستيفنز في ذلك الوقت أنه تم الكشف عن مفتاح خاص عمره 6 سنوات من خلال تكوين داخلي وأن الشركة قامت منذ ذلك الحين بتدوير بيانات الاعتماد وانتقلت إلى خدمات الإدارة الرئيسية. ومع ذلك، فإن هذا الحادث لم يمس أموال المستخدمين أو العقود الأساسية.

وفي حين أن الحادثتين تضمنتا أساليب هجوم مختلفة، إلا أنهما استهدفتا أنظمة خارج أسواق التنبؤ الخاصة بشركة Polymarket نفسها. علاوة على ذلك، جاء آخر فيديو في وقت كانت فيه المنصة تتنقل بالفعل في رياح معاكسة أخرى تتعلق بالسمعة، بما في ذلك تقرير حديث صادر عن صحيفة وول ستريت جورنال، والذي ادعى أنها دفعت للمبدعين في سن الجامعة ما بين 2000 إلى 3000 دولار شهريًا لنشر مقاطع فيديو لرهانات مرحلية على إصدارات وهمية من موقع Polymarket، مع عدم وجود حتى مقطع واحد من أكثر من 1100 مقطع يمكن إرجاعه إلى نشاط blockchain الحقيقي.

كان هناك أيضًا جدل آخر في وقت مبكر من هذا الشهر عندما ادعى أحد المتداولين أنهم خسروا 500000 دولار بعد أن قامت خدمة التنبؤ بتغيير قواعد القرار لسوق مرتبط ببيع Bitcoin الخاص بـ Strategy.

ظهر منشور Polymarket لرد أموال المستخدمين بعد أن سرق المتسللون 3 ملايين دولار في هجوم الواجهة الأمامية لأول مرة على CryptoPotato.