Неизвестные взломали Polymarket и вывели токены POL на $700 000

Неизвестные злоумышленники вывели более $700 000 в токенах POL с кошельков системы выплат вознаграждений сети Polygon блокчейн-платформы прогнозов Polymarket. Об инциденте первым сообщил анонимный блокчейн-детектив ZachXBT.

Эксперт зафиксировал атаку на контракт UMA CTF Adapter в Polygon. Этот слой связывает рынки прогнозов Polymarket с оракулом UMA. Злоумышленник выводил около 5000 токенов каждые 30 секунд, а затем распределял украденные средства как минимум по 15 кошелькам. 

Позже аналитики платформы Bubblemaps подтвердили факт утечки и призвали пользователей приостановить любую активность на Polymarket. Атака затронула как минимум два адреса платформы — 0x871D…9082 и 0xf61e…4805, установили специалисты по безопасности. 

Спустя несколько часов после инцидента руководитель инженерных разработок Polymarket Шантикиран Чанал (Shantikiran Chanal) сообщил, что произошла компрометация приватного ключа внутреннего операционного кошелька. То есть проблема возникла на уровне контроля доступа и не связана с уязвимостью инфраструктуры платформы.

По словам Чанала, был скомпрометирован кошелек, используемый для выплат вознаграждений, а это не влияет на корректность голосования на рынке прогнозов, не затрагивает депозиты пользователей в USDC и не нарушает расчет открытых позиций по правильной цене. При этом масштаб компрометации пока точно неизвестен.  

Блокчейн-платформа Polymarket в последние месяцы неоднократно сталкивалась со скандалами вокруг инсайдерской торговли. В апреле американские власти предъявили действующему военнослужащему обвинения в использовании секретной информации для заработке на блокчейн-прогнозах. Дело стало первым крупным уголовным преследованием за инсайдерские ставки на Polymarket.

Позже расследование газеты The Wall Street Journal (WSJ) показало, что из-за инсайдеров и профессиональных трейдеров 70% обычных пользователей блокчейн-платформы потеряли вложенные деньги. 

источник