Polymarket, die auf Polygon laufende Prognosemarkt-Plattform, wurde am 22. Mai von einem Sicherheitsvorfall getroffen, nachdem ein Angreifer POL-Token im Wert von schätzungsweise 600.000 US-Dollar aus einer Wallet abgezogen hatte, bei der es sich, wie das Unternehmen später bestätigte, um eine interne Betriebs-Wallet handelte und nicht um einen für Nutzer zugänglichen Vertrag.
Frühe On-Chain-Warnungen, die zuerst vom Blockchain-Ermittler ZachXBT aufgedeckt wurden, beschrieben, dass alle 30 Sekunden etwa 5.000 POL abgezogen wurden. Die Geschwindigkeit des Abzugs löste in den Krypto-Social-Media-Kanälen weitreichende Besorgnis aus, wobei einige frühe Berichte die kumulierten Verluste auf über 660.000 US-Dollar bezifferten.
Angreifer teilt Gelder auf; Polymarket begrenzt den Schaden
Das Blockchain-Analyseunternehmen Bubblemaps identifizierte den Angriffspunkt als den UMA-CTF-Adapter-Vertrag von Polymarket und bestätigte die Wallet-Adresse des Angreifers auf Polygonscan: 0x8F98075d…2059d9B91.
Als die breitere Community begann, den Vorfall zu verfolgen, waren die gestohlenen Gelder bereits auf 15 Adressen verteilt worden – eine gängige Technik, um die Rückverfolgung und Wiederbeschaffung zu erschweren.
Polymarket handelte schnell, um das Ausmaß des Vorfalls zu klären. In einer Erklärung sagte Shantikiran Chanal, Mitglied des Protokollteams von Polymarket, der Vorfall sei auf die Kompromittierung eines privaten Schlüssels zurückzuführen, der für interne Abläufe und die Auszahlung von Belohnungen verwendet wurde. Die Kerninfrastruktur und Smart Contracts wurden ausdrücklich ausgeschlossen.
„Die Gelder der Nutzer und die Marktabwicklung sind sicher“, versicherte Chanal den Nutzern.
Der Unterschied ist wichtig. Die Märkte von Polymarket werden über einen dezentralen UMA-Orakel-Mechanismus abgewickelt, und eine Kompromittierung einer Betriebs-Wallet ist zwar kostspielig, liegt aber außerhalb dieser Abwicklungsschicht. Nutzer, die fragten, ob ihre Positionen oder verknüpften Wallets gefährdet seien, wurden beruhigt, dass die Verträge nicht berührt worden seien.
Die Plattform teilte mit, dass weitere Updates folgen würden, während die Untersuchung fortgesetzt werde. Zum Zeitpunkt der Erstellung dieses Artikels gab es noch keinen Zeitplan für die Rückgewinnung der gestohlenen Gelder, und es bleibt unklar, ob die Kompromittierung des privaten Schlüssels auf einen externen Angriff oder eine interne Sicherheitslücke zurückzuführen ist.
WEITERLESEN: Zero Network stellt Ethereum Layer 2 unter Marktdruck ein
