详细内容或原文请订阅后点击阅览
完美的代码并不能防止盗窃。 Polymarket 客户直接在该服务的官方网站上向黑客提供资金
一个习惯性的动作触发了一个脚本,但发现得太晚了。
来源:安全实验室新闻频道完美的代码并不能防止盗窃。 Polymarket 客户直接在该服务的官方网站上向黑客提供资金
一个习惯性的动作触发了一个脚本,但发现得太晚了。
在加密服务中,威胁越来越多地隐藏在协议本身中,而不是用户连接钱包的页面中,而正是这种情况导致了最近 Polymarket 客户资金被盗的事件。该平台确认攻击者入侵了第三方供应商,并通过获得的访问权限将恶意代码引入了网站的用户部分。
这次攻击不是对智能合约或底层 Polymarket 协议的黑客攻击。据区块链分析师 Spectre 称,这是一次网络钓鱼活动:恶意脚本出现在服务前端,并在用户与欺骗界面交互时被触发。连接钱包后,攻击者能够提取资金。
损失估计约为 294 万美元。 Spectre 认为这起盗窃案与至少 11 个钱包有关。 Polymarket向X报告称,它已删除了受感染的依赖项,即第三方代码组件,对事件进行了本地化,并将全额赔偿受影响的用户。
该事件被纳入 DefiLlama 统计,为第二季度第 89 起加密服务黑客攻击事件,成为平台单季度注册攻击数量记录。 6 月份,DefiLlama 统计了 29 起加密货币事件,总损失达 7490 万美元,其中最大的一起是针对 Humanity Protocol 的攻击,损失达 3600 万美元。
这一事件清楚地表明,即使不破解协议,用户也可能通过受感染的接口损失金钱。 Polymarket已经删除了恶意组件,对攻击进行了本地化,并承诺全额赔偿受影响用户的损失。