Невідомі зловмисники вивели понад $700 000 у токенах POL з гаманців системи виплат винагород мережі Polygon блокчейн-платформи прогнозів Polymarket. Про інцидент першим повідомив анонімний блокчейн-детектив ZachXBT.
Експерт зафіксував атаку на контракт UMA CTF Adapter у Polygon. Цей шар пов'язує ринки прогнозів Polymarket з оракулом UMA. Зловмисник виводив близько 5000 токенів кожні 30 секунд, а потім розподіляв вкрадені кошти щонайменше по 15 гаманцях.
Пізніше аналітики платформи Bubblemaps підтвердили факт витоку та закликали користувачів призупинити будь-яку активність на Polymarket. Атака торкнулася як мінімум двох адрес платформи — 0x871D…9082 та 0xf61e…4805, встановили фахівці з безпеки.
За кілька годин після інциденту керівник інженерних розробок Polymarket Шантикиран Чанал (Shantikiran Chanal) повідомив, що відбулася компрометація приватного ключа внутрішнього операційного гаманця. Тобто проблема виникла на рівні контролю доступу та не пов'язана з уразливістю інфраструктури платформи.
За словами Чанала, було скомпрометовано гаманець, що використовується для виплат винагород, а це не впливає на коректність голосування на ринку прогнозів, не торкається депозитів користувачів у USDC і не порушує розрахунок відкритих позицій за правильною ціною. При цьому масштаб компрометації поки що точно невідомий.
Блокчейн-платформа Polymarket останні місяці неодноразово стикалася зі скандалами навколо інсайдерської торгівлі. У квітні американська влада звинуватила діючого військовослужбовця у використанні секретної інформації для заробітку на блокчейн-прогнозах. Справа стала першим великим кримінальним переслідуванням за інсайдерські ставки на Polymarket.
Пізніше розслідування газети The Wall Street Journal (WSJ) показало, що через інсайдерів та професійних трейдерів 70% звичайних користувачів блокчейн-платформи втратили вкладені гроші.