Vigtige indsigter
- Polymarket oplyste, at angriberne havde fået adgang til en tredjepartsleverandør af frontend-løsninger.
- Brugerne led tab som følge af phishing, efter at ondsindet kode havde fundet vej ind i deres tegnebøger.
- Aktiviteten inden for udnyttelse af kryptovalutaer forblev høj gennem hele andet kvartal.
Et hackerangreb på Polymarket ramte brugerne torsdag, efter at angribere havde fået adgang til en tredjepartsleverandør og indsat ondsindet kode. Indbruddet i frontend-systemet påvirkede flere tegnebøger og tvang forudsigelsesmarkedet til at love fuld refusion.
Hændelsen øgede presset på Polymarket, da sikkerhedsrapporter inden for kryptovaluta viste, at der havde været et kvartal med mange sikkerhedsbrud. Platformen oplyste, at den havde inddæmmet sikkerhedsbruddet og fjernet den berørte afhængighed.
Polymarket-hack øgede risikoen for frontend-sikkerheden
Polymarket oplyste den X, at sikkerhedsbruddet skyldtes en afhængighed af en leverandør. Virksomheden oplyste, at angriberne havde placeret et ondsindet script på dens frontend for visse brugere. Den tilføjede, at de berørte brugere ville modtage fuld refusion, når problemet var bragt under kontrol.
Specter”>Blockchain-analytikeren Specter sagde, at scriptet understøttede et phishing-angreb, der tømte penge fra brugernes tegnebøger. Analytikeren anslog tabene til 2,94 millioner dollar fordelt på mindst 11 tegnebøger. Dette tal stod i kontrast til Polymarkets udtalelse, hvor beløbet ikke blev bekræftet.
Angrebet var alvorligt, fordi brugerne ofte anser frontends for at være mere sikre end direkte brug af smartkontrakter. En kompromitteret grænseflade kan omdirigere godkendelser uden at ændre selve smartkontrakterne. Denne struktur gav angriberne mulighed for at udnytte tilliden på applikationslaget.
Hacket mod Polymarket fulgte desuden i kølvandet på en tidligere hændelse vedrørende en intern nøgle, der blev offentliggjort omkring en måned tidligere. Josh Stevens, vicepræsident for teknik, oplyste, at den pågældende sag drejede sig om en gammel privat nøgle. Han sagde, at platformen senere tilbagekaldte de relevante tilladelser og sikrede brugernes midler.
Denne seneste nyhed fra Polymarket afslørede en anden form for sårbarhed. Sikkerhedsbruddet skyldtes ikke en fejl i kontrakten på protokolniveau. I stedet viste det, hvordan adgang til forsyningskæden kan udsætte brugerne for risiko, inden afregningen på blockchainen finder sted.
Polymarket News omhandler stigningen i kryptovaluta-udnyttelser
Ifølge data fra DefiLlama blev angrebet registreret som en sårbarhed i frontend-systemet, der var knyttet til infrastrukturen. I platformens database over hackingangreb blev Polymarket International opført med et tab på 3 millioner dollar på Polygon. Oplysningen placerede hændelsen blandt de angreb, der fandt sted i slutningen af juni, og som platformen har registreret.
Tabene i juni som følge af kryptovaluta-angreb nåede op på 74,9 millioner dollar fordelt på 29 rapporterede hændelser. Dette samlede beløb oversteg majs 60,5 millioner dollar, men lå under aprils 644 millioner dollar. Tallene viste, at hyppigheden af angrebene fortsat var høj på trods af lavere samlede tab.
Blandt de største sager i juni var Humanity Protocol, Secret Network, Aztec og Taiko. Disse hændelser omfattede broer, infrastruktur og mål på applikationsniveau. Denne spredning viste, at angriberne ikke udelukkende udnyttede én enkelt sårbarhed.
Kompromittering af private nøgler har ført til angrebsvektorer i løbet af de seneste 30 dage. DefiLlama har tilordnet denne kategori til 43 % af de registrerede tab som følge af udnyttelse af sårbarheder. Udnyttelse af falske beviser og honeypots baseret på »Miner Extractable Value« fulgte efter i datasættet.
Polymarket-hacket lå uden for listen over de største månedlige hændelser målt på værdi. Alligevel havde det stor betydning for virksomhedens omdømme, da forudsigelsesmarkeder er afhængige af tilliden til brugernes tegnebøger. Brugerne skal kunne stole på, at hver transaktionsanmodning stemmer overens med den handling, der vises på skærmen.
Den tillid svækkes, når angribere kompromitterer leverandørens kode, inden tegnebogen har bekræftet transaktionen. Selv erfarne brugere kan overse ondsindet omdirigering, når brugergrænsefladerne ser normale ud. Sagen flyttede fokus fra kontraktrevisioner til kontrol af afhængigheder.
Polymarkets kontrolfunktioner til refusionsplatformen
Polymarket oplyste, at man havde kontaktet de berørte brugere, efter at sikkerhedsbruddet var blevet inddæmmet. Virksomheden meddelte, at den ville refundere dem det fulde beløb. Denne reaktion begrænsede brugernes umiddelbare tab, men fjernede ikke tvivlen om leverandørens pålidelighed.
Ifølge DefiLlama havde platformen en samlet værdi på over 450 millioner dollar låst fast. Det var en stigning på 301 % i forhold til 112 millioner dollar et år tidligere. Større saldoer kan øge gevinsten for angribere, der udnytter afhængigheder i grænsefladen.
Forudsigelsesmarkeder er genstand for øget opmærksomhed, fordi brugerne ofte flytter penge hurtigt. Sikkerheden i brugergrænsefladen bliver afgørende, når brugerne handler i forbindelse med nyhedshændelser, der udvikler sig hurtigt. En forsinket advarsel kan udsætte tegnebøgerne for risiko, inden brugerne ser opdateringerne på platformen.
Sikkerhedsbruddet viste, hvorfor det er vigtigt at gennemgå afhængigheder på kryptoplatforme rettet mod forbrugere. Leverandørskripter kan falde uden for de centrale protokolrevisioner. Angribere kan også rette angreb mod disse værktøjer, fordi de har direkte kontakt med aktive brugere.
Polymarkets løfte om refusion kan muligvis mindske de umiddelbare konsekvenser. Gentagne hændelser kan dog tvinge virksomheden til at offentliggøre flere tekniske detaljer. Brugere og forskere vil muligvis følge med i, om virksomheden nævner leverandøren ved navn eller indfører yderligere sikkerhedsforanstaltninger.
Den næste prøve for Polymarket bliver brugeraktiviteten efter tilbagebetalingerne. Hvis brugernes saldoer stabiliserer sig, kan sikkerhedsbruddet muligvis holdes under kontrol. Hvis udstrømningen stiger, kan hacket udvikle sig til et bredere tillidsproblem.