Polymarket $3 млн өтемақы төлейді, бұл бұзылған мердігер арқылы жасалған шабуылдан кейін: оқиғаны талдау
Болжамдық нарықтар платформасы Polymarket үшінші тарап вендорын бұзу арқылы жүзеге асырылған кибершабуылдан зардап шеккен пайдаланушылардың шығынын толық өтейтінін ресми түрде мәлімдеді. Ончейн-аналитиктердің бағалауынша, залал шамамен $3 млн құрады. Бұл оқиға орталықтандырылмаған қосымшалардың, әсіресе олардың сыртқы инфрақұрылым жеткізушілеріне тәуелділігі тұрғысынан қауіпсіздігіне қатысты сұрақтарды қайта көтереді.
Бұзудың мәліметтері
Polymarket командасының мәлімдемесіне сәйкес, үшінші тарап мердігерінің бұзылуынан кейін пайдаланушылардың бір бөлігі үшін платформаның фронтендіне зиянды скрипт енгізілген. Мәселені оқшаулауға және жұқтырылған тәуелділікті жоюға қол жеткізілді. Платформа өкілі Коннор Бранди қаражаттың ұрланғанын растады, бірақ қосымша түсініктеме беруден бас тартты.
PeckShield аналитиктері залалды $3 млн деп бағалады, ал Specter бүркеншік атындағы зерттеуші $2,94 млн деген санды нақтылап, 11-ден астам әмиян зардап шеккенін атап өтті. Bubblemaps деректері бойынша, шабуыл 15-тен аз аккаунтқа әсер еткен және әлеуетті залалды айтарлықтай шектеуге мүмкіндік туған. Шабуылдаушылар Polygon-дағы смарт-келісімшарт арқылы 1:1 қатынасында USDC-мен қамтамасыз етілген pUSD токендерін шығарып, содан кейін оларды ETH-ке айырбастап, талдау жазылған кезде қаражат қалған бір Ethereum мекенжайында шоғырландырды.
Осылдық – смарт-келісімшарттар емес, интерфейс
Маңыздысы: шабуыл пайдаланушы интерфейсіне бағытталған, Polymarket-тің негізгі смарт-келісімшарттарына емес. Бұл хаттаманың өзі бұзылмағанын білдіреді – мәселе сенімді, бірақ нашар қорғалған мердігер инфрақұрылымында болды. Компания қай вендордың бұзылғанын және зиянды код сайтта қанша уақыт болғанын әлі ашқан жоқ.
Қайталанатын үлгі
Бұл соңғы жарты жылдағы үшінші осындай оқиға. 2026 жылдың мамырында Polymarket ішкі операцияларға арналған әмиянның жеке кілтінің бұзылуына тап болып, шамамен $700 000 залал келтірді. 2025 жылдың желтоқсанында платформа үшінші тарап провайдеріндегі осалдық салдарынан пайдаланушы аккаунттарының бұзылғанын хабарлады. Жүйелік мәселе айқын: Polymarket өз коды арқылы емес, үшінші тараптар арқылы бірнеше рет шабуылдардың құрбаны болды, бұл сыртқы интеграциялардың жеткіліксіз аудитін көрсетеді.
Басқа хаттамалардың – Ekubo, THORChain, Verus, Echo және Map Protocol – жиі бұзылуы аясында бұл оқиға DeFi-де бағдарламалық қамтамасыз етуді жеткізу тізбегінің қауіпсіздігі елемеуге болмайтын маңызды факторға айналатынын тағы бір рет еске салады.
Менің талдауым: Шығынды өтеу – дұрыс, бірақ кешіктірілген қадам. Polymarket мердігерлермен жұмыс істеу саясатын түбегейлі қайта қарап, барлық сыртқы тәуелділіктердің міндетті аудитін енгізуі қажет. Әйтпесе, платформаның беделі, әсіресе ықтимал реттеуші қысым қарсаңында, толығымен жойылады. Болжам нарығы вендорларды таңдаудағы немқұрайлылыққа байланысты тәуекелге ұшырау үшін тым құнды.