Эксплойт смарт-контракта Polymarket: убытки более $600 тыс., активы клиентов не пострадали

Команда Polymarket сообщила об эксплуатации одной из своих инфраструктурных систем. По данным компании, инцидент затронул адаптер UMA CTF (Conditional Tokens Framework) на блокчейне Polygon. При этом разработчики заверили, что основные контракты и средства пользователей не пострадали.

Первым на подозрительную активность обратил внимание блокчейн-исследователь ZachXBT. Он зафиксировал утечку как минимум $520 тыс. из контракта, связанного с Polymarket. Позднее данные платформы Bubblemaps показали, что злоумышленник продолжал выводить средства.

По информации Polymarket, причиной стала компрометация приватного ключа, который использовался для внутренних операций пополнения. Ключу было шесть лет, доступ к нему уже отозван. Вице-президент компании по инжинирингу Джош Стивенс отметил, что контракты остались в безопасности.

Согласно данным Lookonchain, общая сумма утечки по состоянию на 9:01 UTC 22 мая достигла около $660 тыс. Злоумышленник выводил средства небольшими траншами — до 5 000 POL каждые 30 секунд. На кошелек атакующего было совершено более 100 мелких переводов.

Polymarket — вторая по величине платформа для прогнозов на блокчейне с ежемесячным объемом торгов $3,7 млрд, по данным DefiLlama. Интеграция UMA CTF была проведена в феврале 2022 года для автоматизированного разрешения рынков через Optimistic Oracle.

Редакция Cointelegraph обратилась за комментариями к Polymarket и UMA, но на момент публикации ответа не получила. Инцидент еще раз напоминает о важности управления приватными ключами, даже если они используются во внутренних процессах.