Polymarket жауапкершілікті өз мойнына алады: мердігер арқылы $3 млн көлеміндегі бұзушылықтан кейін шығындарды толық өтеу
Орталықсыздандырылған болжам платформасы Polymarket үшінші тарап вендоры арқылы өзінің фронтенд инфрақұрылымының бұзылғанын ресми түрде растады. Злоумышленниктер пайдаланушылардың бір бөлігіне әсер еткен зиянды скрипт енгізді және ончейн-аналитиктердің мәліметінше, pUSD токендерінде шамамен $3 млн ұрлаған. Жоба әкімшілігі зардап шеккендердің барлық шығынын толық өтеуге уәде берді.
Шабуылдың егжей-тегжейі: мердігер шабуылға ұшырады
Оқиға Polymarket командасы жоспарлы мониторинг кезінде анықталды. Клиенттік кодтың бір бөлігіне жауапты үшінші тарап мердігерінің бұзылғаны белгілі болды. Бұл шабуылдаушыларға сайттың фронтендіне тікелей зиянды скрипт енгізуге мүмкіндік берді, ол кейін пайдаланушылардың тар тобының транзакцияларын немесе авторизация деректерін ұстап алды. Платформа мәселені жедел оқшаулап, жұқтырылған тәуелділікті жойды.
PeckShield компаниясының ончейн-детективтері мен Specter бүркеншік атындағы аналитиктің есептері бойынша, шығын $2,94 млн мен $3 млн аралығында болды. Злоумышленниктер кемінде 11 әмиянға шабуыл жасап, Polygon желісінде USDC-ге 1:1 қатынасында байланған pUSD токендерін шығарды. Ұрлықтан кейін қаражат ETH-ке айырбасталып, Ethereum желісіндегі бірыңғай мекенжайға ауыстырылды, ол жерде талдау жарияланған кезде қалып отыр. Атап өту маңызды: шабуыл дәл пайдаланушы интерфейсіне әсер етті, Polymarket-тің негізгі смарт-келісімшарттарына емес, бұл жаһандық протоколдық тәуекелді жоққа шығарады.
Bubblemaps зерттеушілері зардап шеккен аккаунттар саны 15-тен аспайтынын нақтылады, бұл шабуылдың нысаналы сипатын растайды. Алайда бұзылған мердігердің нақты кім екені және зиянды кодтың сайтта болу ұзақтығы әзірге ашылмайды.
Мазасыз үрдіс: жарты жылдағы үшінші оқиға
Бұл Polymarket үшін қауіпсіздіктің бұзылуының алғашқы жағдайы емес. 2026 жылдың мамырында платформа ішкі операциялар үшін пайдаланылатын әмиянның жеке кілтінің бұзылуына тап болды, бұл шамамен $700 000 шығынға әкелді. Ал 2025 жылдың желтоқсанында басқа үшінші тарап провайдеріндегі осалдық арқылы пайдаланушы аккаунттарының бұзылуы орын алды. Осылайша, ағымдағы шабуыл соңғы алты айдағы үшінші осындай эпизод болып отыр, бұл жеткізу тізбегін (supply chain) басқаруда және үшінші тарап интеграцияларын бақылауда жүйелік мәселені көрсетеді.
Менің талдауым: Polymarket қаржылық жауапкершілікті өз мойнына алып, толық өтемақыға кепілдік беру арқылы дұрыс тәсілді көрсетеді. Бұл қысқа мерзімді перспективада қауымдастықтың сенімін нығайтады. Алайда мердігерлер арқылы қайталанатын шабуылдар — мазасыз сигнал. Жоба қауіпсіздік саясатын түбегейлі қайта қарауы керек: барлық үшінші тарап кітапханаларының кодын міндетті аудиттен өткізу, скрипттерді орындау үшін оқшауланған орталарды пайдалану және вендорларға қойылатын талаптарды қатайту. Әйтпесе, бедел тәуекелдері қаржылық өтемақылардан асып кетуі мүмкін.