Polymarket Dotknięty Exploitem na 700 tys. USD: Co Wiemy i Dlaczego Eksperci Twierdzą, że Mogło Być Gorzej

Polymarket padł ofiarą ataku w piątek, gdy exploit kontraktu opróżnił ponad 600 000 dolarów w kryptowalutach. Pomimo skali kradzieży, wielu analityków bezpieczeństwa podkreśliło, że środki użytkowników i wyniki rynkowe nie zostały naruszone. 

Jeden z ekspertów stwierdził nawet, że incydent mógł być znacznie poważniejszy, gdyby w skompromitowanym kontrakcie wykorzystano dodatkowe mechanizmy kontrolne.

Atak na Polymarket

Według ustaleń śledczego on-chain ZacXBT, oznaczył on podejrzany exploit dotyczący kontraktu UMA CTF Adapter Polymarket na Polygon (POL). W momencie sporządzania raportu łączna kwota powiązana z exploitem wzrosła do prawie 700 000 dolarów. 

Szczegółowy opis działania exploitu przedstawił później ekspert ds. bezpieczeństwa Ox Abdul. W swoim wyjaśnieniu wskazał jako pierwszą kluczową kwestię, że kwota USDC — ponad 600 000 dolarów — wydawała się być jednorazowym opróżnieniem konkretnego portfela na Polygon, zidentyfikowanego jako 0x8F98, administratora UMA CTF Adapter.

Ox Abdul opisał również, w jaki sposób automatyzacja Polymarket mogła przyczynić się do mechaniki exploitu. Stwierdził, że system doładowań Polymarket wielokrotnie wysyłał 5 000 POL co około 30 sekund, aby utrzymać zasilenie portfela gazu wyroczni. 

Zamiast dokonać jednej kradzieży, atakujący czekał na każde doładowanie, a następnie opróżniał je przez około 120 cykli w ciągu około 70 minut, co Ox Abdul oszacował na około 600 000 POL. 

Co istotne, ciągłe straty POL w tym opisie przypisano temu, jak szybko nastąpiło wykrycie i reakcja ze strony Polymarket. Exploit został ostatecznie zatrzymany po rotacji kluczy.

Jak exploit mógł być poważniejszy

Po opróżnieniu doładowań Ox Abdul powiedział, że exploiter wycofał się przez 16 sub-adresów za pośrednictwem ChangeNOW. Nawet przy ograniczonych szkodach ostrzegł, że sytuacja niosła potencjalne zagrożenia wykraczające poza samą kradzież. 

Jego zdaniem skompromitowany portfel administratora przechowywał nie tylko USDC i POL; posiadał również uprawnienia „resolveManually" w UMA Adapter. Wyjaśnił, że te uprawnienia do ręcznego rozstrzygania mogły ominąć wyrocznię i pozwolić atakującemu na wymuszenie dowolnego wyniku rynkowego na Polymarket.

Ox Abdul przedstawił w praktycznych kategoriach, jak mogłoby wyglądać „gorzej". Powiedział, że atakujący mógł zająć duże pozycje na konkretnych rynkach, następnie oznaczyć te rynki do ręcznego rozstrzygania, odczekać około godzinne okno bezpieczeństwa, a na koniec użyć resolveManually, aby rozstrzygnąć rynki na swoją korzyść. 

Po incydencie Josh Stevens, główny deweloper Polymarket, przekazał dodatkowy kontekst za pośrednictwem mediów społecznościowych. Stevens przypisał problem skompromitowanemu, 6-letniemu kluczowi prywatnemu, wyjaśniając, że był on zawarty w wewnętrznej konfiguracji doładowań — przez co środki były wysyłane do klucza, gdy ten pozostawał aktywny. 

Dodał, że klucz został zrotowany, wszystkie uprawnienia produkcyjne zostały odwołane, a firma przechodzi na klucze zarządzane przez KMS w przyszłości.

Podczas gdy rozwijał się incydent techniczny, Polymarket mierzył się również w piątek z kontrolą regulacyjną. Jak informował Bitcoinist, kongresmen James Comer, przewodniczący Komisji ds. Nadzoru i Reformy Rządu Izby Reprezentantów, ogłosił formalne dochodzenie w sprawie platform rynków predykcyjnych Polymarket i Kalshi. 

Comer poinformował, że komisja szuka informacji od dyrektorów generalnych obu firm dotyczących ich wysiłków na rzecz zapobiegania insider tradingowi na ich platformach. 

W swoim piśmie zażądał dokumentów i szczegółów dotyczących tego, w jaki sposób obie platformy wdrażają weryfikację tożsamości dla krajowych i międzynarodowych posiadaczy kont, egzekwują ograniczenia geograficzne oraz wykrywają anomalną aktywność handlową, aby zapobiegać insider tradingowi na swoich globalnych platformach. 

W odrębnym wydarzeniu Bloomberg poinformował, że Polymarket mianował swojego przedstawiciela w Japonii, przygotowując się do lobbowania na rzecz autoryzacji rynków predykcyjnych w tym kraju. Według źródeł cytowanych w raporcie, celem Polymarket jest uzyskanie zgody rządowej w Japonii do 2030 roku.

Obraz wyróżniający stworzony za pomocą OpenArt, wykres z TradingView.com