Безупречный код не спас от кражи. Клиенты Polymarket отдали деньги хакерам прямо на официальном сайте сервиса
Привычное действие запустило сценарий, который заметили слишком поздно.
В криптосервисах угроза всё чаще прячется не в самом протоколе, а в странице, через которую пользователь подключает кошелёк, и именно такой сценарий привёл к недавней краже средств у клиентов Polymarket. Платформа подтвердила, что злоумышленники взломали стороннего поставщика и через полученный доступ внедрили вредоносный код в пользовательскую часть сайта.
Атака не была взломом смарт-контрактов или базового протокола Polymarket. По оценке блокчейн-аналитика Specter, речь шла о фишинговой кампании: вредоносный скрипт появился во фронтенде сервиса и срабатывал, когда пользователи взаимодействовали с подменённым интерфейсом. После подключения кошельков злоумышленники получили возможность вывести средства.
Ущерб оценивают примерно в $2,94 млн. Specter связал кражу как минимум с 11 кошельками. Polymarket сообщила в X, что удалила заражённую зависимость, то есть сторонний компонент кода, локализовала инцидент и полностью возместит потери пострадавшим пользователям.
Инцидент попал в статистику DefiLlama как 89-й взлом криптосервисов во втором квартале, что стало рекордом платформы по числу зарегистрированных атак за квартал. За июнь DefiLlama насчитала 29 криптоинцидентов с общим ущербом $74,9 млн, причём крупнейшей стала атака на Humanity Protocol на $36 млн.
Этот инцидент наглядно показывает, что пользователи могут потерять деньги через заражённый интерфейс даже без взлома протокола. Polymarket уже удалила вредоносный компонент, локализовала атаку и пообещала полностью возместить потери пострадавшим пользователям.