Kunci peribadi yang telah diretas sejak enam tahun lalu memberikan akses kepada penyerang kepada dompet hadiah dalaman Polymarket, mengakibatkan kira-kira $700,000 dana dicuri merentas 16 alamat. Platform pasaran ramalan yang berjalan di blok rantai Polygon mengesahkan bahawa pelanggaran tersebut tidak menyentuh deposit pengguna atau mempengaruhi kesudahan pasaran.
Anggap ia seperti seseorang yang menemui kunci simpanan lama ke dalam stor peralatan pejabat. Mereka tidak masuk ke dalam peti besi, tetapi mereka membersihkan seluruh isi stor tersebut dengan teliti.
Bagaimana proses pengecualian berlaku
Penyelidik atas rantai ZachXBT dan Bubblemaps merupakan yang pertama menandakan aktiviti mencurigakan pada 22 Mei. Anggaran awal menempatkan kerosakan pada sekitar $520,000, tetapi angka itu meningkat kepada sekitar $700,000 apabila penyelidik melacak dana yang dicuri melalui pelbagai alamat, bursa, dan mixer.
Penyerang bergerak dengan pantas, mengosongkan 5,000 token POL setiap 30 saat pada peringkat awal. Kaedah yang sistematik seperti ini menunjukkan automatik, bukan seseorang yang mengklik butang dengan panik.
Dompet yang diserang adalah alamat pentadbiran lama yang digunakan khusus untuk mengagihkan ganjaran keterlibatan pengguna. Dalam bahasa Inggeris: ia adalah dompet top-up yang membiayai insentif promosi, bukan peti simpanan yang menyimpan jaminan pedagang atau dana penyelesaian pasaran.
Usaha untuk membekukan aset menghasilkan kejayaan separuh. Sekitar $164,000 daripada bahagian $573,000 telah dibekukan, bermakna majoriti dana yang dicuri telah dicucikan melalui bursa dan perkhidmatan pencampuran sebelum tindakan boleh diambil.
Kunci itu sendiri berusia enam tahun. Sebagai konteks, enam tahun dalam infrastruktur kripto kira-kira setara dengan menjalankan sistem keselamatan bank menggunakan Windows XP. Usia kunci tersebut menunjukkan kelemahan yang biasa namun boleh dielakkan: organisasi tumbuh melebihi amalan keselamatan peringkat awal tetapi lupa untuk membatalkan kredensial lama.
Tanggapan Polymarket dan apa yang kekal selamat
Pasukan pembangun Polymarket segera berusaha meyakinkan pengguna, menyatakan bahawa dana pengguna, kontrak pintar, dan sistem perdagangan tidak terjejas. Operasi utama platform, termasuk penciptaan pasaran, perdagangan, dan penyelesaian, berterusan tanpa gangguan.
Pelanggaran tersebut terbatas sepenuhnya kepada dompet pembagian ganjaran. Tiada hasil pasaran dimanipulasikan. Tiada baki pengguna disentuh.
Perbezaan ini penting. Polymarket telah muncul sebagai salah satu pasaran ramalan paling ketara dalam kripto, menarik perhatian besar semasa acara politik dan kitaran berita utama. Sebuah kebocoran yang benar-benar membahayakan dana pengguna atau integriti pasaran akan menjadi cerita yang berbeza secara asas, satu yang boleh merosakkan seluruh model kepercayaan pasaran ramalan terdesentralisasi.
Syarikat tersebut mengatakan ia sedang menjalankan penyiasatan menyeluruh terhadap insiden tersebut. Samada penyiasatan itu membawa kepada pengumuman awam mengenai cara kunci tersebut disimpan, siapa yang mempunyai akses, dan dasar pergiliran (atau ketiadaannya) yang berlaku akan layak untuk dipantau.
Pola yang biasa dalam keselamatan kripto
Ini bukan kali pertama kunci penting yang sudah uzur menjadi tautan lemah. Industri kripto menghadapi masalah berulang dengan infrastruktur warisan. Projek dilancarkan dengan pasukan kecil, menghasilkan kunci untuk pelbagai dompet operasi, dan kemudian berkembang pesat tanpa mengaudit kredensial awal tersebut.
Vektor serangan di sini bukanlah ralat kontrak pintar, eksploitasi pinjaman kilat, atau manipulasi DeFi yang canggih. Ia adalah kunci peribadi yang sepatutnya ditukar atau diberhentikan bertahun-tahun yang lalu. Eksploitasi paling mudah sering kali paling merosakkan kerana ia adalah perkara yang tidak pernah dipertimbangkan untuk diperiksa.
Insiden sepadan telah menimpa projek-projek lain di masa lalu. Dompet panas, kunci pentadbir, dan alamat pelaksanaan dari hari-hari awal projek mewakili permukaan yang terus-menerus menjadi sasaran penyerang. Sekali kunci peribadi dikompromikan, sama ada melalui phishing, perisian jahat, atau dalaman, tiada mekanisme di atas rantai yang boleh menghentikan pemegang daripada melaksanakan transaksi.
Dompet multi-tandatangan, modul keselamatan peranti keras, dan penukaran kunci secara berkala semuanya adalah langkah pengurangan piawai. Fakta bahawa kunci tunggal yang berusia enam tahun masih mempunyai kuasa atas dompet yang dipenuhi menunjukkan bahawa sekurang-kurangnya salah satu amalan tersebut tidak dilaksanakan untuk alamat tertentu ini.
Apa yang bermaksud ini kepada pelabur dan pengguna
Ini perkara yang perlu diperhatikan. Kerugian sebanyak $700,000 adalah agak kecil mengikut piawai eksploit kripto. Tetapi kerosakan reputasi boleh melebihi nilai dolar, terutamanya untuk platform yang bergantung kepada keyakinan pengguna untuk berfungsi.
Pasaran ramalan secara intrinsik bergantung kepada kepercayaan. Pengguna bertaruh wang sebenar atas kesudahan, dan mereka perlu percaya bahawa platform yang mengurus dana dan menyelesaikan taruhan mereka adalah sihat secara operasi. Walaupun satu kebocoran terhadap dompet ganjaran sahaja, ia memperkenalkan keraguan mengenai sistem warisan lain yang mungkin bersembunyi di latar belakang.
Bagi pedagang yang secara aktif menggunakan Polymarket, risiko segera kelihatan terkawal. Dana pengguna tidak terjejas, dan kontrak pintar platform tidak terlibat dalam eksploitasi tersebut. Infrastruktur operasi yang menangani deposit, penarikan, dan penyelesaian pasaran kelihatan sepenuhnya berasingan daripada dompet yang dilanggar.
Kekhawatiran yang lebih besar adalah sistemik. Jika Polymarket, salah satu platform ramalan yang paling terkenal dan dibiayai dengan baik, menjalankan kunci berusia enam tahun dengan akses dana aktif, bagaimana kebersihan pengurusan kunci pada projek-projek yang lebih kecil dan kurang berpunya? Insiden ini seharusnya mendorong pengguna untuk mengajukan soalan yang lebih sukar mengenai keselamatan operasi mana-mana platform di mana mereka menyimpan dana, bukan hanya laporan audit kontrak pintar.
Platform pesaing mungkin menggunakan momen ini untuk membezakan diri melalui amalan keselamatan. Dasar pusingan kunci yang telus, keperluan multi-sig untuk semua dompet operasi, dan audit keselamatan pihak ketiga secara berkala boleh menjadi keperluan asas bagi platform yang ingin menarik volume serius. Di pasaran di mana kepercayaan adalah produk, platform yang mampu menunjukkan secara kredibel keselamatan operasi yang paling ketat mempunyai kelebihan yang bermakna.
Sementara itu, pembekuan sebahagian sebanyak $164,000 bermakna majoriti dana yang dicuri kemungkinan besar tidak dapat dipulihkan. Dana yang telah melalui mixer dan bursa adalah, dari segi praktikal, hilang. Samada penguasa penegak undang-undang atau forensik atas rantai dapat melacak dana yang tinggal kepada pihak yang boleh dikenal pasti masih menjadi soalan terbuka, tetapi peluangnya berkurang dengan setiap lompatan melalui perkhidmatan pencampuran.