Вскрытие загадочного случая с Polymarket 🚀
Многие пользователи сочли 22 мая случаем возможного взлома, когда на платформе для прогнозирования рынка произошел стремительный отток средств. Позднее связанные с Polymarket счета заявили, что это не был эксплуатация смарт-контракта, и что это не повлияло на средства пользователей или решение рынка.
Первое смещение внимания началось с инженера по блокчейну ZachXBT и аналитической фирмы Bubblemaps. ZachXBT заявил, что счет администратора Polymarket предположительно был взломан на Polygon, с оттоком более чем 520 000 долларов США в момент его telegram-оповещения.
Bubblemaps затем предупредила, что атакующие удаляли 5 000 ПОВ примерно каждые 30 секунд, а в результате краже было похищено примерно 600 000 долларов США, одновременно рекомендуя пользователям приостановить деятельность на Polymarket.
Поздняя объяснительная Полимаркета сместила проблему от основной рыночной нестабильности к внутренней безопасности эксплуатации. Найденные доказательства указали на компрометацию приватного ключа счета, используемого для внутренней подзарядки, а не на «счета или основную инфраструктуру». Шантикирна Чанал, соисполнительный директор Полимаркета, также заявил: «Средства пользователей и решение рынка безопасны», добавив, что вопрос связан с отчетами о выплате вознаграждений.
В этом случае это означает, что существует разные риски. Эксплуатация контракта или решение проблемы привели бы к вопросам о том, могут ли рынки правильно завершить свои рыночные события или были ли позиции пользователя избыточно открытые. Внутренний компрометированный счет с фондовым балансом не является такой серьезной проблемой, но он все равно указывает на неправильную работу ключа управления, сервисов заполнения и операционных контролов, используемых для поддержки платформы.
Публичное предупреждение переместилось быстрее, чем объяснение компрометации приватного ключа. Таймлайн быстро перемещался. Telegram-пост ZachXBT в 08:22 UTC описал счет администратора Полимаркета как предположительно взломанный на Polygon и указал адрес атакующего 0x8F98075db5d6C620e8D420A8c516E2F2059d9B91.
Тот же пост перечислил связанные и опустившиеся счета, позволяя аналитикам по блокчейну следовать за trail.
Bubblemaps усилила предупреждение в 08:51 UTC, описав ситуацию как эксплуатацию контракта Полимаркета, вида Полимаркетов, который вызывал бы немедленную обеспокоенность по поводу основной инфраструктуры, и сказав, что атакующий удаляет 5 000 ПОВ каждые 30 секунд.
Данные по блокчейну показывают, почему это предупреждение привлекло внимание. Транзакция PolygonScan в 09:01:19 UTC показывает 5 000 ПОВ, передаваемых в счет администратора Полимаркета, помеченный UMA CTF Adapter Admin.
Через семь секунд показано, что 4 999.994 ПОВ передаются из этого помеченного счета администратора в помеченный счет атакующего. Страничка счета атакующего помечена PolygonScan как «Polymarket Adapter Exploiter 1» и показывает повторяющиеся переводы в окно оповещения.
Этот пар транзакции подтверждает видимый отток, который вызвал публичное предупреждение, и дает конкретный пример того вида передачи потока, который команды Полимаркета позже описали как участвующий в внутренней заполнителях, оставляя коренную причину для заявлений команды.
Вопрос Первое предупреждение Полимаркетов объяснения связанных с Полимаркетом счетов Что происходило?
Bubblemaps предупредила, что 5 000 ПОВ удаляются примерно каждые 30 секунд.
Команды Полимаркета заявили, что отчеты связаны с выплатой вознаграждений или внутренней зарядкой.
Было ли это контрактное эксплуатирование?
Bubblemaps первоначально описала это как эксплуатацию контракта Полимаркета.
Связанные счета Полимаркета заявили, что исследования указывают на то, что это не связано с контрактами или основной инфраструктурой.
Были ли средства пользователя затронуты?
Первое предупреждение порекомендовало пользователям приостановить деятельность.
Шантикирна Чанал и команды Полимаркета заявили, что средства пользователей и решение рынка были безопасны.
Оценка потерь на живом счете составляла примерно 600 000 долларов США в момент оповещения Bubblemaps.
Финальная оценка потерь, полный набор затронутых счетов и информация о восстановлении все еще не определились.
Объяснения команд Полимаркета указывают на то, что это была компрометированная приватная ключевая компрометация Полимаркета.
Самая ясная официальная версия была на страничке Полимаркетов-разработчиков, которая описывала инцидент как компрометированную приватную ключевую компрометацию Полимаркета, используемую в счете для внутренней подзарядки.
Эта фраза сдвигает инцидент из категории непосредственной уязвимости смарт-контракта в более операционную проблему: кто контролировал ключ, как он был обнаружен и почему поток был продолжен.
Чанал добавил в свои реплики, что счета были «полностью безопасны» и что команда была исследует backend-системы и секреты, одновременно заменяя ключи.
Мустафа, другой связанный с Полимаркетом источник, дал самый прямой комментарий об эксплуатации контракта. Он «Контракт CTF не был эксплуатирован», добавив, что проблема заключалась в внутренней операционной адресной базе, используемой для проверки и подзарядки балансов каждые несколько секунд.
Он также заявил, что все средства пользователей были безопасны и что счет был заполнен.
Документация Полимаркета помогает объяснить различия за этические риски. Компания говорит, что рынки используют UMA для расчета и что выигранные позиции вносятся в счет после расчета посредством механизмов CTF.
Его CTF-документация описывает токены исхода для и замечает, что да/нет пары полностью обеспечены. С таким фоном прямой сбой CTF или инфраструктуры решения привели бы к другим вопросам, чем взломнутый счет, используемый для выплат или внутренней зарядки.
Известные объявления команд Полимаркета выносят проблему за пределы основной рыночной или инфраструктурной инфраструктуры. Они оставляют вопросы об операционной безопасности открытыми.
Приватные ключи — это слой управления авторизацией для счетов блокчейна, и компрометированный ключ внутри можно все еще передавать средства, вызывать публичное панику и вызывать проблемы с мониторингом или автоматическими потоками финансирования, даже если торговые балансы пользователей и рыночный расчет не являются целями.
Следующее обновление должно урегулировать
По материалам CryptoSlate