Polymarketは第三者の侵害によって、ユーザーからの$3M Theftがあったことを確認

Polymarketは、6月に侵害されたサードパーティベンダーを通じて、ハッカーが11人以上のユーザーから約300万ドルを盗んだことを確認した。ブロックチェーンセキュリティ企業Peckshieldによると、攻撃は悪意のあるフロントエンドコードを使用し、ユーザーを騙して不正なトランザクションを承認させるフィッシング行為であった。同社は影響を受けたすべての被害者に全額返金しており、中核インフラとオンチェーンマーケットは直接侵害されていないと強調している。この事件は、予測市場が急速な成長と規制の監視強化に直面する中、セキュリティ上の課題が高まっていることを浮き彫りにしている。

Polymarketが攻撃をサードパーティベンダーのコード注入に関連付け

Polymarketは、外部プロバイダーの1つで侵害が発生し、攻撃者が一部のユーザーのフロントエンドに悪意のあるコードを注入できるようになったことを明らかにした。改ざんされたスクリプトはフィッシングキャンペーンを実行し、被害者を騙して不正なトランザクションを承認させ、接続されたウォレットから資金を流出させた。

「我々はインシデントを封じ込めた」とPolymarketは述べ、影響を受けた依存関係を削除したと付け加えた。同社は、自社の中核インフラとオンチェーンマーケットは侵害されておらず、弱点はPolymarketのウェブサイトを通じてコードが提供されたサードパーティサプライヤーであると強調した。

ブロックチェーンセキュリティ企業Peckshieldは、損失は11人以上の被害者から約300万ドルが流出したと推定した。この攻撃はサプライチェーン侵害であり、攻撃者はプラットフォームのシステムを直接攻撃するのではなく、信頼されたベンダーを標的としてより大規模なプラットフォームに到達するものであった。

悪意のあるコードは基盤となるスマートコントラクトではなくウェブサイトのフロントエンドに存在していたため、この悪用はほとんどのユーザーが操作するレイヤーを直撃した。侵害されたページを読み込んだ訪問者は、正当に見えるが代わりに資産の制御を攻撃者に渡してしまうトランザクションへの署名を求められた。Polymarketのオンチェーンマーケットにロックされた資金は直接リスクにさらされることはなかったが、偽造されたトランザクションを承認したユーザーのウォレットは空にされた。

画像の出所: X

全影響ユーザーへの完全返金を確認

Polymarketは、自社のインフラ外で発生した侵害のコストを吸収し、返金処理を進めるにあたり、被害者一人ひとりに個別に連絡していると述べた。同社は影響を受けたユーザーに「全額」返金している。

このプラットフォームはこれまでに1億件以上の取引を処理しており、暗号通貨分野で最も活発な場の1つとなっている。PolymarketとライバルのKalshiは共に、4月に記録的な月間取引高を記録した。

予測市場、セキュリティと規制の監視強化に直面

Polymarketは最近、Chainalysisの監視ツールを導入し、市場の整合性を監視している。米国の議員らはインサイダー取引防止策について予測市場を調査しており、ある共和党法案は国会議員とその家族が政策結果に賭けることを禁止しようとしている。

共和党のBryan Steil議員は、「議員の予測禁止法案（Stop Lawmakers from Predicting Act）」を提出した。この法案は、下院議員、その家族、および上級スタッフが予測市場プラットフォームでの取引を禁止するものである。

FAQ

6月のPolymarketセキュリティ侵害で何が起きたのか？

ハッカーは、侵害されたサードパーティベンダーを介して注入された悪意のあるコードにより、11人以上のPolymarketユーザーから約300万ドルを盗んだ。攻撃はフロントエンドのフィッシングを使用し、ユーザーを騙して不正なトランザクションを承認させ、接続されたウォレットから資金を流出させた。

Polymarketは影響を受けたユーザーにどのように対応しているのか？

Polymarketは、影響を受けたすべての被害者に全額返金していることを確認し、侵害されたサードパーティの依存関係を削除することでインシデントを封じ込めたと述べた。同社は、中核インフラとオンチェーンマーケットは直接侵害されていないと強調している。