Ideas clave
- Polymarket ha dicho que los atacantes han comprometido a un proveedor externo de interfaces de usuario.
- Los usuarios sufrieron pérdidas por phishing después de que un código malicioso llegara a sus monederos.
- La actividad de los ataques a criptomonedas se mantuvo alta durante todo el segundo trimestre.
El jueves, los usuarios de Polymarket se vieron afectados por un ataque informático después de que unos atacantes se colaran en un proveedor externo e inyectaran código malicioso. La brecha de seguridad en la interfaz afectó a varias carteras y obligó al mercado de predicciones a prometer reembolsos completos.
El incidente aumentó la presión sobre Polymarket, ya que los informes de seguridad sobre criptomonedas revelaron que había sido un trimestre repleto de vulnerabilidades. La plataforma afirmó que había contenido la brecha de seguridad y eliminado la dependencia afectada.
El ataque a Polymarket ha aumentado el riesgo en el frontend
Polymarket dijo en X que la brecha se produjo a través de un proveedor externo. La empresa explicó que los atacantes colocaron un script malicioso en su interfaz de usuario para algunos usuarios. Añadió que los usuarios afectados recibirían un reembolso completo una vez que se hubiera solucionado el problema.
Specter”>El analista de blockchain Specter dijo que el script facilitaba un proceso de phishing que vaciaba los fondos de las carteras de los usuarios. El analista calculó que las pérdidas ascendían a 2,94 millones de dólares en al menos 11 carteras. Esa cifra no coincidía con el comunicado de Polymarket, que no confirmó la cantidad.
El ataque fue importante porque los usuarios suelen considerar que las interfaces de usuario son más seguras que el uso directo de los contratos inteligentes. Una interfaz comprometida puede redirigir las aprobaciones sin modificar los contratos inteligentes principales. Esa estructura les dio a los atacantes margen para aprovecharse de la confianza en la capa de aplicación.
El ataque a Polymarket también se produjo tras un incidente anterior relacionado con una clave interna que se había dado a conocer aproximadamente un mes antes. El vicepresidente de ingeniería, Josh Stevens, explicó que en ese caso se trataba de una clave privada antigua. Según él, la plataforma revocó posteriormente los permisos relacionados y protegió los fondos de los usuarios.
Esta última noticia sobre Polymarket puso de manifiesto un punto débil diferente. La brecha de seguridad no se debió a un fallo en el contrato a nivel de protocolo. En cambio, demostró cómo el acceso a la cadena de suministro puede dejar a los usuarios expuestos antes de que se complete la liquidación en la cadena de bloques.
Polymarket News aborda el aumento de los ataques a las criptomonedas
Los datos de DefiLlama registraron el ataque como una vulnerabilidad del frontend relacionada con la infraestructura. En su base de datos de ataques, Polymarket International aparecía con unas pérdidas de 3 millones de dólares en Polygon. La entrada situaba el incidente entre los ataques de finales de junio que sigue la plataforma.
Las pérdidas registradas en junio por ataques a criptomonedas alcanzaron los 74,9 millones de dólares en 29 incidentes notificados. Esa cifra superó los 60,5 millones de dólares de mayo, pero se mantuvo por debajo de los 644 millones de dólares de abril. Los datos mostraron que la frecuencia de los ataques se mantuvo elevada a pesar de que las pérdidas totales fueron menores.
Entre los casos más importantes de junio se encontraban Humanity Protocol, Secret Network, Aztec y Taiko. Esos incidentes afectaron a puentes, infraestructura y objetivos a nivel de aplicación. Esa variedad demostró que los atacantes no se limitaron a una sola vulnerabilidad.
La filtración de claves privadas ha dado lugar a vectores de ataque en los últimos 30 días. DefiLlama ha atribuido esa categoría al 43 % de las pérdidas por exploits registradas. A continuación, en el conjunto de datos, aparecen los exploits de pruebas falsas y los honeypots de «Miner Extractable Value» invertidos.
El ataque a Polymarket no se contó entre los incidentes mensuales más importantes por su valor. Aun así, tuvo un gran impacto en la reputación, ya que los mercados de predicción dependen de la confianza en el monedero. Los usuarios deben estar seguros de que cada solicitud de transacción coincide con la acción que se muestra en pantalla.
Esa confianza se ve mermada cuando los atacantes alteran el código del proveedor antes de que la cartera lo confirme. Incluso los usuarios con experiencia pueden pasar por alto un enrutamiento malicioso cuando las interfaces parecen normales. Este caso ha hecho que la atención pase de las auditorías de contratos a los controles de dependencias.
Controles de la plataforma de pruebas de reembolsos de Polymarket
Polymarket dijo que se puso en contacto con los usuarios afectados tras contener la filtración. La empresa afirmó que les reembolsaría el importe íntegro. Esa respuesta limitó las pérdidas inmediatas de los usuarios, pero no disipó las dudas sobre el riesgo que supone el proveedor.
Según DefiLlama, la plataforma tenía más de 450 millones de dólares en valor total bloqueado. Eso supuso un aumento del 301 % respecto a los 112 millones de dólares del año anterior. Unos saldos más elevados pueden aumentar la recompensa para los atacantes que se centran en las vulnerabilidades de la interfaz.
Los mercados de predicción están sometidos a un mayor escrutinio porque los usuarios suelen mover fondos rápidamente. La seguridad de la interfaz cobra especial importancia cuando los usuarios realizan operaciones durante acontecimientos de actualidad que evolucionan rápidamente. Una alerta tardía puede dejar las carteras expuestas antes de que los usuarios vean las actualizaciones de la plataforma.
Esta brecha ha puesto de manifiesto por qué es importante revisar las dependencias en las plataformas de criptomonedas para consumidores. Los scripts de los proveedores pueden quedar fuera de las auditorías del protocolo principal. Además, los atacantes pueden centrarse en estas herramientas porque interactúan directamente con los usuarios activos.
El compromiso de reembolso de Polymarket podría reducir las consecuencias a corto plazo. Sin embargo, si se repiten estos incidentes, la empresa podría verse obligada a dar más detalles técnicos. Los usuarios y los investigadores estarán pendientes de si nombra al proveedor o añade medidas de seguridad.
La próxima prueba para Polymarket será la actividad de los usuarios tras los reembolsos. Si los saldos de los usuarios se estabilizan, es posible que la filtración se mantenga bajo control. Si aumentan las salidas de fondos, el ataque podría convertirse en un problema de confianza más generalizado.
