Более $600 000 потеряно в результате эксплуатации адаптера UMA на платформе прогнозных рынков Polymarket. Команда проекта заявила, что средства пользователей и механизм разрешения рынков остались в безопасности.
Что предшествовало
Polymarket — децентрализованная платформа для ставок на исход реальных событий, работающая на Polygon. Для разрешения рынков она использует оракул UMA (Universal Market Access). В марте 2024 года Polymarket привлекла $45 млн в раунде финансирования при оценке в $1 млрд. Платформа набрала популярность во время президентских выборов в США, обработав более $2 млрд объема торгов. Подробнее — оборудование для майнинга.
Ключевое событие
15 октября 2024 года исследователь ZachXBT сообщил об эксплуатации адаптера UMA, используемого Polymarket для пополнения балансов. Злоумышленник, предположительно, скомпрометировал приватный ключ, связанный с операциями пополнения, и вывел средства. По данным ZachXBT, убыток составил около $520 000, но позже команда Polymarket уточнила, что общая сумма превысила $600 000. Взлом затронул только адаптер, а не базовые смарт-контракты платформы.
Что произошло потом
Команда Polymarket оперативно отреагировала: «Средства пользователей в безопасности, и разрешение рынков не пострадало». Платформа приостановила работу адаптера и начала внутреннее расследование. ZachXBT отметил, что эксплойт не затронул основные пулы ликвидности. На момент написания новости Polymarket продолжает функционировать в штатном режиме. По нашим наблюдениям, подобные инциденты подчеркивают уязвимость промежуточных компонентов DeFi-инфраструктуры, которые часто остаются вне фокуса аудита.
Открытые вопросы
Остается неясным, как именно был скомпрометирован приватный ключ — через фишинг, уязвимость в коде или инсайдерскую атаку. Также не раскрыта сумма, которую удалось вернуть, если возврат вообще возможен. Для российских пользователей, активно торгующих на Polymarket через VPN, этот случай напоминает о рисках централизованных точек отказа даже в децентрализованных протоколах. При курсе рубля около 95 ₽ за $1 убыток в $600 000 эквивалентен примерно 57 млн рублей — сумма, сопоставимая с годовым бюджетом небольшой майнинг-фермы в Иркутской области, где промышленный тариф на электроэнергию составляет около 3–5 ₽/кВт·ч. Российским инвесторам стоит учитывать, что подобные инциденты не подпадают под страхование вкладов по 115-ФЗ, а налоговые органы (ФНС) могут квалифицировать убытки как внереализационные расходы только при документальном подтверждении.
Комментарии
0