予測市場プラットフォーム Polymarket は 6 月 25 日、第三者ベンダーの侵害を通じて自社フロントエンドに悪意ある JavaScript が注入され、ウォレットを接続したユーザーから約 294 万ドル相当の PUSD が流出したと発表しました。同社は影響を受けたユーザーへの全額返金を約束し、当該依存関係を排除したと説明しています。
主なポイント
- 攻撃者は第三者ベンダーを侵害して悪意ある JS を Polymarket の Web インターフェースへ注入、被害ユーザーがウォレット接続した瞬間に PUSD を吸い上げるトランザクションへ署名させた
- 被害は Polygon 上の 11 ウォレット超で、合計約 294 万ドル相当の PUSD が流出 (後の集計で 310 万ドルに上方修正)
- 攻撃者は窃取資金を Polygon ⇒ Ethereum へブリッジし、約 1,893 ETH に変換して単一アドレスへ集約
- Polymarket は侵害された第三者ベンダー名を公表していない。スマートコントラクト本体ではなくフロントエンドのみが標的
- 同社は損失分の全額返金を約束し、PeckShield や AMLBot が引き続き資金追跡を実施
出典: Polymarket customers lose $3 million in supply-chain attack