Скомпрометированный закрытый ключ, датируемый шестью годами назад, дал злоумышленнику доступ к внутреннему кошельку вознаграждений Polymarket, что привело к краже примерно 700 000 долларов США на 16 адресах. Платформа прогнозного рынка, работающая на блокчейне Polygon, подтвердила, что взлом не затронул депозиты пользователей и не повлиял на исходы рынков.
Представьте, что кто-то нашёл старый запасной ключ от шкафа с канцелярскими товарами. Они не попали в сейф, но хорошо всё вычистили из шкафа.
Как развивался отток
Ончейн-исследователи ZachXBT и Bubblemaps первыми обратили внимание на подозрительную активность 22 мая. Первоначальные оценки оценивали ущерб в около 520 000 долларов, но эта цифра выросла до примерно 700 000 долларов, когда исследователи проследили украденные средства через несколько адресов, бирж и миксеров.
Злоумышленник действовал быстро, откачивая по 5 000 токенов POL каждые 30 секунд на ранних этапах. Такой систематический темп указывает на автоматизацию, а не на безумное нажатие кнопок.
Скомпрометированный кошелек был устаревшим административным адресом, используемым исключительно для распределения наград за вовлечение пользователей. На английском языке: это был кошелек пополнения, финансирующий рекламные стимулы, а не хранилище залогов трейдеров или средств для расчетов на рынке.
Попытки заморозить активы дали частичные результаты. Было заморожено около 164 000 долларов из части в 573 000 долларов, что означает, что большая часть украденных средств уже была отмыта через биржи и миксеры до того, как была возможна интервенция.
Сам ключ был шестилетнего возраста. Для контекста: шесть лет в инфраструктуре криптовалют примерно эквивалентны использованию системы безопасности банка на Windows XP. Возраст ключа указывает на распространённую, но предотвратимую уязвимость: организации растут, но забывают отменить старые учётные данные.
Ответ Polymarket и то, что осталось безопасным
Команда Polymarket почти сразу заверила пользователей, что средства пользователей, смарт-контракты и торговые системы остались незатронутыми. Основные операции платформы, включая создание рынков, торговлю и расчеты, продолжились без перебоев.
Уязвимость ограничилась исключительно кошельком распределения наград. Рыночные результаты не были манипулированы. Балансы пользователей не были затронуты.
Это различие имеет значение. Polymarket стал одним из самых заметных прогнозных рынков в криптовалюте, привлекая значительное внимание во время политических событий и крупных новостных циклов. Нарушение, которое фактически скомпрометировало средства пользователей или целостность рынка, было бы совершенно другой историей — одной, которая могла бы подорвать всю модель доверия децентрализованных прогнозных рынков.
Компания заявила, что проводит тщательное расследование инцидента. Стоит следить за тем, приведет ли это расследование к публичному раскрытию информации о том, как хранился ключ, кто имел к нему доступ и какие политики ротации (или их отсутствие) были в силе.
Знакомый паттерн в крипто-безопасности
Это не первый раз, когда устаревший админ-ключ становится слабым звеном. Криптоиндустрия сталкивается с постоянной проблемой устаревшей инфраструктуры. Проекты запускаются с небольшой командой, генерируют ключи для различных операционных кошельков, а затем быстро масштабируются, не аудитируя ранние учетные данные.
Вектор атаки здесь — не уязвимость смарт-контракта, не эксплуатация флеш-займа или сложная манипуляция в DeFi. Это был приватный ключ, который следовало заменить или отключить еще несколько лет назад. Самые простые эксплойты часто наиболее разрушительны именно потому, что о них никто не думает проверять.
Подобные инциденты ранее происходили и с другими проектами. Горячие кошельки, админские ключи и адреса развертывания из первых дней проекта представляют собой постоянную поверхность атаки для злоумышленников. Как только приватный ключ скомпрометирован — будь то через фишинг, вредоносное ПО или внутреннего сотрудника — нет никакого механизма в цепочке, который мог бы остановить владельца от выполнения транзакций.
Многосигнатурные кошельки, аппаратные модули безопасности и регулярная смена ключей — это все стандартные меры защиты. То, что шестилетний одиночный ключ по-прежнему имел доступ к заполненному кошельку, указывает на то, что по крайней мере одна из этих практик не применялась для данного адреса.
Что это значит для инвесторов и пользователей
Вот в чём дело. Потеря в 700 000 долларов относительно невелика по стандартам криптовалютных атак. Но репутационный ущерб может превысить денежную сумму, особенно для платформы, которая зависит от доверия пользователей для функционирования.
Рынки прогнозов по своей природе зависят от доверия. Пользователи ставят реальные деньги на исходы событий и должны быть уверены, что платформа, управляющая их средствами и решающая исход ставок, функционирует надежно. Даже утечка, ограниченная кошельком с вознаграждениями, вызывает сомнения в том, какие еще устаревшие системы могут скрываться на фоне.
Для трейдеров, активно использующих Polymarket, немедленный риск, похоже, ограничен. Средства пользователей не были скомпрометированы, и смарт-контракты платформы не участвовали в инциденте. Операционная инфраструктура, отвечающая за депозиты, выводы и расчеты по рынкам, по всей видимости, полностью отделялась от скомпрометированного кошелька.
Большая проблема — системная. Если Polymarket, одна из самых известных и хорошо финансируемых прогнозных платформ, использовала ключ возрастом шесть лет с активным доступом к средствам, как выглядит гигиена управления ключами у более мелких проектов с ограниченными ресурсами? Этот инцидент должен побудить пользователей задавать более сложные вопросы об операционной безопасности любой платформы, где они хранят средства, а не только о отчетах об аудите смарт-контрактов.
Конкурентные платформы могут использовать этот момент, чтобы выделиться своими практиками безопасности. Прозрачные политики смены ключей, требование мультиподписи для всех операционных кошельков и регулярные независимые аудиты безопасности могут стать обязательными условиями для платформ, стремящихся привлечь значительные объемы. На рынке, где доверие — это продукт, платформа, которая может достоверно продемонстрировать наилучшую операционную безопасность, имеет существенное преимущество.
На данный момент частичная блокировка $164 000 означает, что подавляющее большинство похищенных средств, скорее всего, не подлежат возврату. Средства, прошедшие через миксеры и биржи, практически потеряны. Остается открытым вопрос, сможет ли правоохранительная власть или цепочечная криминалистика отследить оставшиеся средства до идентифицируемой стороны, но шансы снижаются с каждым переходом через сервис смешивания.