Ang isang napapalitan na private key na nagsimula noong anim na taon ang nakalipas ay nagbigay ng access sa isang hacker sa loob na wallet ng mga reward ng Polymarket, na nagresulta sa pagkawala ng halos $700,000 sa 16 addresses. Ang platform ng prediction market, na tumatakbo sa Polygon blockchain, ay kumpirmado na hindi nasasakop ng paglabas ang mga deposito ng user o nakakaapekto sa mga resulta ng merkado.
Isipin mo ito tulad ng isang tao na nakakatagpo ng isang lumang pangalawang susi sa kabinet ng mga kagamitan sa opisina. Hindi siya nakapasok sa vault, ngunit malinaw niyang inalis ang lahat ng nasa kabinet.
Paano nag-unfold ang pagbubukas
Ang mga investigator sa on-chain na si ZachXBT at Bubblemaps ang unang nagbaba ng alerto tungkol sa makabuluhang aktibidad noong Mayo 22. Ang mga unang pagtataya ay naglalagay ng pinsala sa halos $520,000, ngunit tumataas ang bilang sa halos $700,000 habang tinataya ng mga researcher ang mga nakuha na pondo sa pamamagitan ng maraming address, exchange, at mixer.
Mabilis na umaksyon ang attacker, inalis ang 5,000 POL tokens bawat 30 segundo sa mga unang yugto. Ang ganitong sistematisadong ritmo ay nagpapakita ng automation, hindi isang tao na nagsisigaw-sigaw na pindot ang mga pindutan.
Ang nasiraang wallet ay isang legacy administration address na ginamit lamang para sa pagpapadala ng mga reward para sa user engagement. Sa Ingles: ito ay isang top-up wallet na nag-fund sa mga promotional incentive, hindi isang vault na nagtatago ng trader collateral o market settlement funds.
Ang mga pagsisikap na pigilan ang mga ari-arian ay nagbigay ng bahagyang resulta. Ipinigil ang halos $164,000 ng bahagi ng $573,000, na nangangahulugan na ang karamihan sa mga pinagtaksil na pera ay nangalawang na sa mga exchange at mga serbisyo ng pagmamix bago makamit ang pagtutok.
Ang sariling key ay may edad na anim na taon. Para sa konteksto, ang anim na taon sa crypto infrastructure ay katumbas ng pagpapatakbo ng sistemang seguridad ng isang banko gamit ang Windows XP. Ang edad ng key ay nagpapakita ng isang karaniwan ngunit maiiwasang vulnerability: ang mga organisasyon ay lumalaki sa kanilang mga panimulang praktika sa seguridad ngunit nakakalimutan na tanggalin ang mga lumang kredensyal.
Sagot ng Polymarket at kung ano ang nanatiling ligtas
Agad na nag-move ang koponan ng Polymarket upang magpahinga sa mga user, na nagsasabi na ang mga pondo ng user, smart contract, at mga sistema ng pagtinda ay hindi naapektuhan. Patuloy ang pangunahing operasyon ng platform, kabilang ang paglikha ng merkado, pagtinda, at pag-settle, nang walang paghinto.
Ang paglabas ay limitado lamang sa wallet para sa pagkakaloob ng mga reward. Walang manipuladong mga resulta sa merkado. Walang binago ang balanse ng mga user.
Mahalaga ang pagkakaiba na ito. Ang Polymarket ay naging isa sa mga pinakamalaking pamilihan ng pagtataya sa crypto, na nakakakuha ng malaking atensyon sa panahon ng mga politikal na pangyayari at malalaking balita. Ang isang paglabag na talagang nagkompromiso sa mga pondo ng user o integridad ng pamilihan ay isang magkakaibang kuwento, isang isyu na maaaring magbanta sa buong modelo ng tiwala ng mga decentralized prediction markets.
Sinabi ng kumpanya na nagpapagawa ito ng masusing imbestigasyon sa insidente. Kung ang imbestigasyong ito ay magdudulot ng pampublikong paglalathala kung paano itinago ang susi, sino ang may access, at anong mga patakaran sa pagpapalit (o kawalan nito) ang nasa lugar, ay dapat subaybayan.
Pamilyar na pattern sa crypto security
Hindi ito ang unang beses na ang isang lumang admin key ang mahinang link. Mayroong paulit-ulit na problema sa crypto industry tungkol sa legacy infrastructure. Ang mga proyekto ay lumulunsad gamit ang maliit na koponan, nagpapagawa ng mga key para sa iba’t ibang operational wallet, at pagkatapos ay umuunlad nang mabilis nang hindi nag-audits sa mga maagang credential.
Hindi isang bug sa smart contract, isang flash loan exploit, o isang komplikadong DeFi manipulasyon ang vector ng pag-atake dito. Ito ay isang private key na dapat ay na-rotate o na-decommission nang ilang taon na ang nakalipas. Ang pinakasimpleng exploit ay madalas ang pinakamasasamang epekto eksaktong dahil sila ang mga bagay na hindi iniisip ng sinuman na i-check.
Nakaranas na ng katulad na insidente ang iba pang mga proyekto sa nakaraan. Ang mga hot wallet, admin keys, at deployment addresses mula sa mga unang araw ng isang proyekto ay nagtataglay ng patuloy na surface area para sa mga attacker. Kapag na-compromise ang isang private key, kahit sa pamamagitan ng phishing, malware, o isang insider, walang on-chain mechanism upang pigilan ang tagapag-iyak mula sa paggawa ng mga transaksyon.
Ang mga multi-signature wallet, hardware security modules, at regular key rotation ay lahat standard na pagpapababa ng panganib. Ang katotohanan na ang isang iisang key na may edad na anim na taon ay patuloy na may awtoridad sa isang may pera na wallet ay nagmumungkahi na hindi isinagawa ang isa sa mga praktikang iyon para sa partikular na address.
Ano ang ibig sabihin nito para sa mga investor at gumagamit
Narito ang bagay. Ang pagkawala ng $700,000 ay relatibong maliit ayon sa mga istandar ng crypto exploit. Ngunit ang pinsalang reputasyon ay maaaring mas lalo pang umabot kaysa sa numerong pondo, lalo na para sa isang platform na nakadepende sa tiwala ng mga gumagamit upang magsilbi.
Ang prediction markets ay likas na nakadepende sa tiwala. Ang mga gumagamit ay nagtatalo ng totoong pera sa mga resulta, at kailangan nilang paniniwalaan na ang platform na nag-aalaga ng kanilang pera at nagpapatotoo sa kanilang taya ay operasyonal na malusog. Kahit isang paglabas na limitado sa isang wallet ng mga reward ay nagdudulot ng pag-aalinlangan kung ano pa ang iba pang lumang sistema na maaaring nakatago sa likod.
Para sa mga trader na aktibong gumagamit ng Polymarket, ang agad na panganib ay tila nakontrol. Hindi naaapektuhan ang pera ng mga user, at hindi kasali ang mga smart contract ng platform sa pag-exploit. Ang operasyonal na imprastruktura na nag-aalok ng pag-deposit, pag-withdraw, at pag-settle ng mga merkado ay tila ganap na hiwalay sa nasirang wallet.
Mas malaking problema ang sistemiko. Kung ang Polymarket, isa sa mga pinakakilalang at pinakamalaking pondo sa mga prediction platform, ay gumagamit ng isang anim-taong-kagawaran na key na may aktibong pag-access sa mga pondo, ano ang kalidad ng key management hygiene sa mas maliit at mas limitadong proyekto? Dapat magbigay ng pagkakataon ang insidente na ito sa mga user na magtanong ng mas mahirap na mga tanong tungkol sa operational security ng anumang platform kung saan nila ipinapautang ang kanilang pondo, hindi lamang ang mga ulat ng smart contract audit.
Maaaring gamitin ng mga kompetitor ang pagkakataong ito upang magkakaroon ng pagkakaiba sa mga patakaran sa seguridad. Maaaring maging pangunahing kinakailangan ang transparent na patakaran sa pagbabago ng mga key, ang mga kinakailangan sa multi-sig para sa lahat ng operational wallets, at ang regular na third-party security audits para sa mga platform na naghahanap na tarantihin ang seryosong volume. Sa isang merkado kung saan ang tiwala ang produkto, ang platform na makapagpapakita nang may kredibilidad ng pinakamalakas na operational security ay may malaking kahihintay.
Sa kasalukuyan, ang parte ng pagpapahinga ng $164,000 ay nangangahulugan na ang karamihan sa mga nakuha na pondo ay malaming hindi na mababawi. Ang mga pondo na nakalabas sa mga mixer at exchange ay, sa praktikal na pagtingin, nawala na. Kung maaari ba ng mga awtoridad o on-chain forensics na tukuyin ang natitirang mga pondo sa isang kilalang partido, ay isang bukas na tanong, ngunit bumababa ang posibilidad araw-araw habang lumilipas sa bawat mixing service.