Atak na Polymarket urósł do 3,1 mln dolarów mimo zapowiedzi pełnych zwrotów
Atak objął 11 kont po kampanii phishingowej i naruszeniu u dostawcy. Polymarket twierdzi, że usunął lukę i organizuje zwroty w PUSD.

Najważniejsze informacje
- Polymarket padł ofiarą ataku, w którym z 11 kont użytkowników skradziono szacunkowo 3,1 mln dolarów w tokenach PUSD.
- Atak rozpoczął się od kampanii phishingowej i naruszonego dostawcy, który wstrzyknął złośliwy kod do frontendu platformy.
- Polymarket twierdzi, że usunął lukę i obiecuje pełny zwrot w PUSD dla poszkodowanych użytkowników.
Polymarket, zdecentralizowana platforma prediction markets, stała się celem rozległego ataku, w którym użytkownicy stracili szacunkowo 3,1 mln dolarów w tokenach PUSD. Napastnicy najpierw przeprowadzili kampanię phishingową wymierzoną w 11 kont, a następnie wyprowadzone środki przenieśli przez Polygon do Ethereum.
Szczegóły ataku i reakcja Polymarket
Do wykrycia incydentu doszło po naruszeniu bezpieczeństwa u zewnętrznego dostawcy współpracującego z Polymarket. W efekcie do frontendu platformy dla części użytkowników trafił złośliwy skrypt. Spółka przekazała, że usunęła już podatność, eliminując problematyczną zależność, oraz skontaktowała się z poszkodowanymi. Polymarket zapowiada pełny zwrot w PUSD, czyli natywnym tokenie wykorzystywanym do wszystkich transakcji na platformie.
Firma zajmująca się bezpieczeństwem blockchain PeckShield poinformowała, że atak rozpoczął się od phishingu, który doprowadził do kradzieży około 1.893 ETH, czyli niemal 3 mln dolarów. Później AMLBot skorygował szacowaną wartość strat do 3,1 mln dolarów. Jedna z ofiar opisała w mediach społecznościowych, że jej wallet został zhakowany, choć nie potrafiła wyjaśnić, w jaki sposób doszło do przejęcia.
Ostatnie problemy z bezpieczeństwem i dochodzenie
To nie pierwszy raz, gdy Polymarket mierzy się z problemem bezpieczeństwa. W marcu pojawiły się doniesienia o możliwym naruszeniu, po którym z dwóch smart contracts na blockchainie Polygon wyprowadzono ponad 520.000 dolarów. Wtedy Polymarket zapewniał, że środki pozostają bezpieczne. Jeszcze wcześniej, w grudniu, platforma informowała o incydencie bezpieczeństwa na swoim kanale Discord, po tym jak użytkownicy zgłaszali znikające środki i podejrzane próby logowania. Tamten przypadek przypisano zewnętrznemu dostawcy usług logowania.
Równolegle Polymarket znalazł się pod federalną lupą po doniesieniach o wprowadzających w błąd praktykach marketingowych w mediach społecznościowych, w ramach których użytkowników profilowano pod kątem zysków. To postępowanie pojawia się po wcześniejszych sankcjach i ograniczeniach, w tym po grzywnie w wysokości 1,4 mln dolarów nałożonej przez amerykańską Commodity Futures Trading Commission (CFTC) w 2022 roku za oferowanie kontraktów binarnych bez wymaganych licencji.
Znaczenie dla europejskich użytkowników kryptowalut
Choć Polymarket niedawno wrócił na rynek amerykański po przejęciu giełdy posiadającej licencję CFTC, platforma nadal pozostaje pod presją na rynkach międzynarodowych. W kilku krajach, w tym we Francji, Brazylii i Indiach, jest zakazana ze względu na obawy związane z przepisami dotyczącymi hazardu i zakładów. Dla europejskich użytkowników kryptowalut ten incydent jest kolejnym przypomnieniem, jak ważna jest ostrożność przy korzystaniu z zdecentralizowanych platform oraz jak duże pozostaje ryzyko ataków phishingowych, zwłaszcza na rynku, gdzie regulacje i bezpieczeństwo wciąż szybko się rozwijają. To wpisuje się też w szerszy trend, w którym atakujący częściej wykorzystują słabości ludzkie i operacyjne niż sam błąd w kodzie, co pokazuje również bezpieczeństwo kryptowalut wymaga czegoś więcej niż samych audytów, aby zapobiegać stratom.