Pranešama, kad „Polymarket“ UMA CTF adapterio sutartis „Polygon“ buvo nukreipta į įtariamą išnaudojimą, o tinklo analitikai perspėjo vartotojus pristabdyti veiklą.
Santrauka
- ZachXBT pažymėjo įtariamą UMA CTF adapterio išnaudojimą daugiakampyje, kurio nuostoliai viršija 520 000 USD.
- „PeckShield“ teigė, kad du adresai buvo nusausinti, o kai kurios pavogtos lėšos jau buvo pervestos į „ChangeNOW“.
- „Bubblemaps“ perspėjo, kad užpuolikai kas 30 sekundžių pašalindavo 5000 POL, nes nuostoliai sparčiai didėjo.
„ZachXBT“ bendruomenės įspėjime teigiama, kad „Polymarket“ UMA CTF adapterio sutartis „Polygon“ buvo įtariama užpulta. Perspėjime buvo nurodyti nuostoliai, viršijantys 520 000 USD, o užpuoliko adresas buvo pavadintas 0x8F98075db5d6C620e8D420A8c516E2F2059d9B91.
Vėliau „PeckShield“ sakė, kad „ZachXBT“ pranešė, kad sutartis „galimai buvo išnaudota“. Apsaugos įmonė nurodė, kad iš dviejų adresų – 0x871D…9082 ir 0xf61e…4805 – buvo išleista apie 520 000 USD. Taip pat teigiama, kad dalis pavogtų lėšų jau buvo perkelta į „ChangeNOW“.
„Polymarket“ protokolo bendradarbis Shantikiran Chanal teigė, kad saugumo ataskaitos buvo susijusios su atlygio išmokėjimo veikla. Jis sakė, kad vartotojų lėšos ir rinkos sprendimas yra saugūs, ir pridūrė, kad ankstyvosios išvados rodo „privataus rakto kompromisą dėl piniginės, naudojamos vidaus operacijoms, o ne sutartims ar pagrindinei infrastruktūrai“.
„Bubblemaps“ įspėja vartotojus pristabdyti veiklą
„Bubblemaps“ taip pat perspėjo, kad buvo pasinaudota „Polymarket“ sutartimi. Įmonė teigė, kad užpuolikai kas 30 sekundžių pašalino 5 000 POL, o pranešimo metu nuostoliai siekė apie 600 000 USD.
„PolygonScan“ duomenys, skirti 0x871D…9082, rodo pakartotinius išeinančius 5 000 POL pervedimus adresu, pažymėtu kaip „Polymarket“ UMA CTF adapterio administratorius. Keli perkėlimai įvyko maždaug 30 sekundžių skirtumu, atitinkantys šabloną, pažymėtą „Bubblemaps“.
Tuo tarpu „Polymarket“ dokumentacijoje teigiama, kad UMA CTF adapteris sujungia rinkas su „UMA Optimistic Oracle“. Adapteris naudojamas numatymo rinkų, sukurtų remiantis sąlyginių prieigos raktų sistema, skyros duomenims užklausti ir gauti.
Polymarket naujesnėje dokumentacijoje teigiama, kad visi rezultatai platformoje yra ženklinami naudojant CTF, o rezultatų žetonus palaiko užrakintas pUSD. Dėl to paveikta sutarties sritis yra susijusi su tuo, kaip kuriamos, išsprendžiamos ir išperkamos rinkos tinkle.
Tai nėra pirmasis „Polymarket“ ginčas, susijęs su UMA. Ankstesniuose pranešimuose buvo pažymėta, kad UMA banginis tariamai paveikė Polymarket rinkos rezultatą, susietą su Trumpo ir Ukrainos mineralų sandoriu, todėl kilo klausimų dėl orakulų balsavimo galios ir rinkos sprendimo pasitikėjimo.
Ataka ateina, kai „Polymarket“ plečiasi
Incidentas įvyko po to, kai „Polymarket“ perėjo nuo kriptovaliutų numatymo platformos prie platesnės rinkos struktūros diskusijos. Naujausiame crypto.news reportaže teigiama, kad „Polymarket“ ir „Kalshi“ vadovaujamos prognozių rinkos išaugo į vieną sparčiausiai besivystančių finansų sektorių.
Platforma taip pat patyrė reguliavimo ir rinkos dizaino spaudimą. Ankstesniuose pranešimuose buvo pažymėtas Viskonsino ieškinys prieš „Polymarket“, „Kalshi“, „Coinbase“, „Robinhood“ ir su Crypto.com susijusius subjektus, teigdamas, kad kai kurios prognozių rinkos veikia kaip nelicencijuoti lošimo produktai.
Įtariamas išnaudojimas šioms diskusijoms prideda naują techninės rizikos sluoksnį. Polymarket jau stebimas dėl klausimų, susijusių su reguliavimu, sprendimo taisyklėmis ir rinkos vientisumu. Sutarties lygio incidentas dabar vėl sutelkia dėmesį į naudotojų saugą ir išmaniąją sutarčių valdymą.
Naujausias įspėjimas taip pat buvo paskelbtas dėl platesnio DeFi saugumo incidentų skaičiaus. Naujausi pranešimai apėmė „Echo Protocol“ pristabdytą tiltą po neteisėto eBTC kaldinimo, o „Verus Ethereum“ tilto atvejis pasikeitė po to, kai išnaudotojas grąžino 4 052 ETH po 11,5 mln. USD suklastoto pervedimo atakos.
