В пятницу платформа прогнозов Polymarket подверглась атаке: злоумышленник вывел почти $700 000 в криптовалюте через уязвимость в смарт-контракте. Несмотря на масштаб кражи, эксперты по безопасности подчеркивают, что средства пользователей и исходы рынков не пострадали. Один из аналитиков даже заявил, что инцидент мог быть значительно серьезнее, если бы злоумышленник использовал дополнительные возможности скомпрометированного контракта.
Тогда (2020-2024)
Polymarket, запущенная в 2020 году, быстро стала крупнейшей платформой для ставок на события — от выборов до спорта. К 2024 году объем торгов превысил $1 млрд, а платформа привлекла внимание регуляторов. В январе 2024 года Polymarket получила штраф от CFTC в $1,4 млн за незарегистрированные рынки. Взломы на платформе были редкостью: последний крупный инцидент — утечка данных в 2022 году, не связанная с контрактами. Подробнее — майнеры в наличии.
Сейчас
Атака произошла 15 ноября 2024 года. По данным ончейн-детектива ZacXBT, эксплойт затронул контракт UMA CTF Adapter на сети Polygon (POL). Сумма ущерба достигла почти $700 000. Специалист по безопасности Ox Abdul детализировал механизм: злоумышленник воспользовался автоматической системой пополнения Polymarket, которая каждые 30 секунд отправляла 5 000 POL на оракульский газовый кошелек. Вместо единоразового хищения атакующий ждал каждого пополнения и выводил средства — за 70 минут (около 120 циклов) было украдено примерно 600 000 POL. Утечку остановили только после ротации ключей.
Разница и причины
Ключевое отличие от предыдущих атак — уязвимость оказалась не в базовой логике контракта, а в управлении ключами. Ведущий разработчик Polymarket Джош Стивенс пояснил, что проблема возникла из-за скомпрометированного шестилетнего приватного ключа, который оставался в конфигурации внутреннего пополнения. Ключ был ротирован, все продакшн-разрешения отозваны, а компания переводит все ключи на управление через KMS. Ox Abdul предупредил, что скомпрометированный кошелек имел права resolveManually на адаптере UMA, что позволяло бы принудительно разрешать рынки в пользу атакующего, минуя оракул. По его оценке, злоумышленник мог открыть крупные позиции, дождаться окна безопасности в час и принудительно разрешить рынки в свою пользу — ущерб мог составить десятки миллионов долларов.
Что значит для рынка
Инцидент произошел на фоне усиления регуляторного давления: председатель комитета Палаты представителей Джеймс Комер объявил о расследовании платформ прогнозов Polymarket и Kalshi на предмет инсайдерской торговли. Polymarket также назначила представителя в Японии для лоббирования легализации рынков прогнозов к 2030 году. Для российских майнеров и инвесторов, которые используют Polymarket для хеджирования рисков, атака не несет прямых потерь, но подчеркивает важность безопасности ключей. По нашим наблюдениям, подобные инциденты могут ускорить внедрение более строгих стандартов управления ключами на платформах DeFi, что в долгосрочной перспективе снизит риски для всех участников. Российским пользователям стоит обратить внимание на хранение приватных ключей: использование аппаратных кошельков и мультиподписи может предотвратить подобные утечки. В условиях текущего курса рубля (около 95 ₽ за $1) потеря $700 000 эквивалентна примерно 66,5 млн рублей — сумма, сопоставимая с годовым доходом средней промышленной майнинг-фермы в Иркутской области, где тариф на электроэнергию составляет около 3-5 ₽/кВт·ч.
Комментарии
0