Polymarketのハッキングがユーザーをさらけだすなかで暗号資産エクスプロイトによる損失が増加

主なポイント

• Polymarketは、攻撃者が第三者フロントエンドベンダーを侵害したと発表した。
• 悪意あるコードがウォレットに到達し、ユーザーはフィッシング被害を受けた。
• 暗号資産のエクスプロイト活動は第2四半期を通じて高水準を維持した。

木曜日、攻撃者が第三者ベンダーを侵害して悪意あるコードを注入したことで、Polymarketのハッキングがユーザーを直撃した。このフロントエンド侵害は複数のウォレットに影響を及ぼし、予測市場に全額返金の約束を迫った。

この事件は、暗号資産セキュリティレポートがエクスプロイトの多発した四半期を示す中、Polymarketへの圧力を強めた。同プラットフォームは侵害を封じ込め、影響を受けた依存関係を削除したと発表した。

Polymarketハッキングがフロントエンドリスクを浮き彫りに

PolymarketはX上で、侵害がベンダーの依存関係を通じて発生したと説明した。同社は、攻撃者が一部ユーザーのフロントエンドに悪意あるスクリプトを設置したと述べた。また、問題が封じ込められた後、影響を受けたユーザーへ全額返金すると付け加えた。

ブロックチェーンアナリストのSpecterは、このスクリプトがユーザーウォレットから資金を流出させるフィッシングフローを支援したと述べた。アナリストは少なくとも11のウォレットにわたる損失を294万ドルと推計した。この数字はPolymarketの声明とは別のものであり、同社は金額を確認していない。

この攻撃が重要なのは、ユーザーがフロントエンドを直接コントラクトを使用するよりも安全だと考えることが多いためだ。侵害されたインターフェースは、コアのスマートコントラクトを変更せずに承認をリダイレクトできる。この構造により、攻撃者はアプリケーション層で信頼を悪用する余地を得た。

今回のPolymarketハッキングはまた、約1か月前に開示された社内キーに関する以前の事件に続くものでもある。エンジニアリング担当副社長のJosh Stevensは、その事件が古い秘密鍵に関わるものだったと述べた。同氏はその後、プラットフォームが関連する権限を失効させ、ユーザーの資金を保護したと説明した。

今回の最新のPolymarketニュースは、異なる脆弱性を示した。この侵害はプロトコルレベルのコントラクト障害に依存しなかった。代わりに、サプライチェーンへのアクセスがブロックチェーン決済の前にユーザーを晒す可能性を示した。

Polymarketニュースと暗号資産エクスプロイト急増が重なる

DefiLlamaのデータは、この攻撃をインフラに関連するフロントエンドの脆弱性として記録した。同社のハッキングデータベースは、Polymarket InternationalのPolygon上での損失を300万ドルとして掲載した。このエントリは、プラットフォームが追跡した6月下旬の攻撃の中にこの事件を位置付けた。

6月の暗号資産エクスプロイトによる損失は、報告された29件の事件で7,490万ドルに達した。この総額は5月の6,050万ドルを上回ったが、4月の6億4,400万ドルを下回った。データは、集計損失が低下しているにもかかわらず、エクスプロイトの頻度が高止まりしていることを示した。

6月の最大事案には、Humanity Protocol、Secret Network、Aztec、Taikoが含まれた。これらの事件はブリッジ、インフラ、アプリケーションレベルのターゲットを対象としていた。この広がりは、攻撃者が一つの弱点に依存していないことを示した。

過去30日間では、秘密鍵の侵害が攻撃ベクターをリードした。DefiLlamaはそのカテゴリを追跡されたエクスプロイト損失の43%に割り当てた。データセットでは、偽の証明エクスプロイトと逆Miner Extractable Value（MEV）ハニーポットがこれに続いた。

Polymarketのハッキングは、金額では月間最大事案の外側に位置した。それでも、予測市場がウォレットの信頼に依存しているため、評判上の重みがあった。ユーザーは各トランザクションのプロンプトが画面に表示されたアクションと一致すると信じなければならない。

攻撃者がウォレット確認前にベンダーコードを侵害すると、この信頼は弱まる。インターフェースが正常に見える場合、経験豊富なユーザーでも悪意あるルーティングを見逃す可能性がある。この事件は、コントラクト監査から依存関係の管理へと注目をシフトさせた。

Polymarketの返金がプラットフォームの管理体制を試す

Polymarketは、侵害を封じ込めた後、影響を受けたユーザーに連絡を取ったと述べた。同社は全額返金すると述べた。この対応は即時のユーザー損失を限定したが、ベンダーリスクに関する疑問を払拭するものではなかった。

DefiLlamaによると、同プラットフォームは4億5,000万ドル以上の総ロック残高を保有していた。これは1年前の1億1,200万ドルから301%増加した数字だ。残高が大きくなれば、インターフェースの依存関係を標的にする攻撃者への報酬も高まる可能性がある。

予測市場はユーザーが資金を素早く動かすことが多いため、より厳しい監視に直面している。急展開するニュースイベント中にユーザーが取引する際、フロントエンドの安全性が中心的な問題となる。警告の遅れにより、ユーザーがプラットフォームの更新を確認する前にウォレットが晒される可能性がある。

この侵害は、消費者向け暗号資産プラットフォームにとって依存関係のレビューがなぜ重要かを示した。ベンダーのスクリプトはコアプロトコルの監査の外に置かれる可能性がある。攻撃者はまた、これらのツールが生きたユーザーに直接触れるため、標的にすることもある。

Polymarketの返金誓約は短期的な影響を軽減するかもしれない。しかし、繰り返される事件は同社にさらなる技術的詳細の開示を迫る可能性がある。ユーザーや研究者は、同社がベンダーを特定するか、安全策を追加するかを注視するかもしれない。

Polymarketの次のテストは、返金後のユーザーアクティビティだ。ユーザー残高が安定すれば、侵害は封じ込められたままかもしれない。資金流出が増加すれば、このハッキングはより広範な信頼の問題になる可能性がある。

The post Polymarket Hack Exposes Users As Crypto Exploit Losses Rise appeared first on The Coin Republic.