Polymarket потерял $3 млн из-за взлома стороннего подрядчика

iEXExchanger
Polymarket потерял $3 млн из-за взлома стороннего подрядчика

Хакеры взломали стороннего подрядчика и через него внедрили вредоносный код в интерфейс Polymarket. Из пользовательских кошельков утекло около $3 млн в PUSD. Это второй инцидент за месяц.

Утром 25 июня Polymarket признал взлом — и это оказалось финалом тщательно спланированной атаки. Хакеры не трогали смарт-контракты и не взламывали блокчейн. Они проникли через третью сторону: взломали стороннего подрядчика, чей код использовался в интерфейсе платформы, и вставили в сайт вредоносный скрипт.

Когда пользователи заходили в свои аккаунты, скрипт запускался незаметно и инициировал несанкционированные транзакции. Под удар попал PUSD — внутренний залоговый токен Polymarket, обеспеченный USDC. Менее чем из пятнадцати кошельков вытекло около 3 миллионов долларов. Злоумышленник мгновенно конвертировал их в ETH и перегнал в один адрес — дальнейшее движение средств видно только через блокчейн-обозреватели.

Платформа убрала заражённую зависимость в течение нескольких часов и написала в X: «Мы устранили проблему и выходим на связь с каждым пострадавшим. Полный возврат средств гарантирован». Детали о том, кто именно оказался взломанным поставщиком, компания не раскрыла.

Контекст при этом важен. Меньше месяца назад Polymarket уже попал под удар: хакеры опустошили внутренний кошелёк сотрудника, используемый для пополнения аккаунтов и выдачи наград, — около 700 тысяч долларов. Тогда пользовательские средства не пострадали. На этот раз атака прошла глубже: деньги вышли прямо из аккаунтов.

Произошедшее — это атака на цепочку поставок программного обеспечения, только направленная против крипто-платформы. Весь хайп вокруг децентрализации не отменяет факта: каждый Web3-продукт по-прежнему стоит на обычных веб-технологиях — сторонних скриптах, CDN, аналитических библиотеках. Именно здесь и прячется уязвимость. Смарт-контракт может быть идеально надёжным, но один скомпрометированный внешний SDK способен превратить его в открытую дверь.

Два крупных инцидента за тридцать дней — это уже не случайность. Polymarket конкурирует с Kalshi, который активно расширяется в США после регуляторных побед, и любые сомнения в безопасности платформы стоят реальных объёмов торгов. Насколько пользователи проголосуют ногами — покажет статистика ближайших недель.

Вопросы и ответы

Частые вопросы по теме статьи

Как именно хакеры попали на Polymarket?

Злоумышленники взломали стороннего подрядчика, чей код использовался в интерфейсе платформы, и через него внедрили вредоносный скрипт. Атака не затронула смарт-контракты или блокчейн.

Что такое PUSD и почему он пострадал?

PUSD — внутренний залоговый токен Polymarket, обеспеченный USDC. Он хранится в пользовательских кошельках для торговли прогнозами — именно их и атаковал вредоносный скрипт.

Вернут ли пользователям украденные деньги?

Да. Polymarket публично пообещал полный возврат средств всем пострадавшим и сообщил, что уже связывается с каждым из них напрямую.

Это первый крупный взлом Polymarket?

Нет. Около месяца назад хакеры взломали внутренний кошелёк сотрудника платформы и вывели около $700 000. Тогда средства пользователей не пострадали. Июньский инцидент — второй за 30 дней.

Что такое атака на цепочку поставок ПО?

Это метод, при котором злоумышленник взламывает не конечную цель, а её поставщика — библиотеку, плагин или внешний сервис. Заражённый код попадает к пользователям через доверенный канал и часто незаметен даже для служб безопасности.

Читают также