Уязвимость в тени гиганта: что произошло с Polymarket?
Крупнейшая в мире децентрализованная платформа прогнозов Polymarket столкнулась с инцидентом безопасности. В результате компрометации старого приватного ключа злоумышленникам удалось вывести около $660,000. Несмотря на инцидент, руководство платформы поспешило успокоить сообщество: основные смарт-контракты, инфраструктура и, главное, средства пользователей остались в полной безопасности.
Атака была нацелена на вспомогательный контракт-адаптер UMA Conditional Tokens Framework (CTF) в сети Polygon. Этот инцидент привлек огромное внимание рынка, учитывая колоссальные масштабы платформы.
Масштабы Polymarket и последствия атаки
- Ежемесячный объем торгов: $3.7 млрд (по данным DefiLlama)
- Общий ущерб от эксплойта: около $660,000
- Похищенные активы: нативные токены сети Polygon (POL)
- Статус средств пользователей: Полная безопасность (инфраструктура не затронута)
Анатомия атаки: роль шестилетнего ключа
Первым тревогу забил известный ончейн-детектив ZachXBT. Он указал на подозрительную активность, связанную с контрактом-адаптером UMA CTF. Злоумышленник начал систематически выводить средства мелкими транзакциями.
Вскоре вице-президент по инжинирингу Polymarket Джош Стивенс прояснил ситуацию. Оказалось, что уязвимость не была связана с багом в коде самих смарт-контрактов. Источником проблемы стал компрометированный приватный ключ шестилетней давности, который использовался исключительно для внутренних технических операций по пополнению баланса (top-up operations). К настоящему моменту все права доступа, привязанные к этому ключу, были оперативно аннулированы.
Что такое UMA CTF Adapter?
Это специальный контракт-оракул, который связывает рынки предсказаний Polymarket с децентрализованным оракулом UMA’s Optimistic Oracle. Он используется для автоматического и децентрализованного разрешения исходов споров и рынков. Интеграция этого решения состоялась еще в феврале 2022 года.
«Этот инцидент подсвечивает классическую проблему legacy-инфраструктуры в Web3. Даже если ваши текущие смарт-контракты прошли десятки аудитов, старые административные ключи, забытые в репозиториях или на серверах много лет назад, остаются бэкдором для хакеров», — комментирует эксперт по безопасности смарт-контрактов.
Динамика ончейн-активности хакера
Аналитические платформы зафиксировали методичный характер действий атакующего. По данным Bubblemaps, злоумышленник выводил примерно по 5,000 POL каждые 30 секунд. Всего было зафиксировано более 100 мелких транзакций на адрес атакующего.
Хронология инцидента
- Обнаружение: ZachXBT фиксирует подозрительные транзакции из контракта-адаптера UMA CTF.
- Анализ Bubblemaps: Выявлен паттерн вывода средств — регулярные транзакции по 5,000 POL.
- Оценка Lookonchain: Сумма ущерба оценивается в диапазоне от $520,000 до $660,000.
- Реакция Polymarket: Разработчики и руководство подтверждают компрометацию старого ключа и отзывают все его разрешения. Контракты признаны безопасными.
Несмотря на неприятный репутационный момент, быстрая реакция команды Polymarket предотвратила более серьезные последствия. Платформа продолжает функционировать в штатном режиме, а инцидент станет очередным напоминанием о важности регулярного аудита не только кода, но и всей истории управления ключами доступа.
