Polymarket ถูกโจมตีโดยการสูญเสียเงิน 700,000 ดอลลาร์สหรัฐผ่านกุญแจส่วนตัวที่มีอายุ 6 ปี

กุญแจส่วนตัวที่ถูกโจมตีตั้งแต่หกปีก่อนทำให้ผู้โจมตีเข้าถึงวอลเล็ตรางวัลภายในของ Polymarket ซึ่งนำไปสู่การขโมยเงินประมาณ 700,000 ดอลลาร์สหรัฐ across ที่อยู่ 16 ที่อยู่ แพลตฟอร์มการพนันเชิงคาดการณ์ซึ่งทำงานบนบล็อกเชน Polygon ยืนยันว่าการถูกโจมตีไม่ได้ส่งผลกระทบต่อเงินฝากของผู้ใช้หรือผลลัพธ์ของตลาด

คิดเหมือนคนที่เจอกุญแจสำรองเก่าของตู้เก็บอุปกรณ์สำนักงาน พวกเขาไม่ได้เข้าไปในห้องนิรภัย แต่ได้เก็บของในตู้นั้นออกไปอย่างหมดจด

นักสืบบนโซ่ ZachXBT และ Bubblemaps เป็นผู้แรกที่แจ้งเตือนกิจกรรมที่น่าสงสัยเมื่อวันที่ 22 พฤษภาคม ướcการเริ่มต้นระบุว่าความเสียหายอยู่ที่ประมาณ 520,000 ดอลลาร์ แต่ตัวเลขนี้เพิ่มขึ้นเป็นประมาณ 700,000 ดอลลาร์ เมื่อนักวิจัยติดตามเงินที่ถูกขโมยผ่านที่อยู่หลายแห่ง แพลตฟอร์มแลกเปลี่ยน และตัวผสม

ผู้โจมตีเคลื่อนไหวอย่างรวดเร็ว ดูดโทเค็น POL ออกไป 5,000 โทเค็นทุกๆ 30 วินาทีในระยะเริ่มต้น รูปแบบการกระทำที่เป็นระบบแบบนี้บ่งชี้ถึงการใช้ระบบอัตโนมัติ ไม่ใช่การคลิกปุ่มอย่างสิ้นหวัง

วอลเล็ตที่ถูกโจมตีเป็นที่อยู่การบริหารแบบเดิมที่ใช้เฉพาะสำหรับแจกจ่ายรางวัลการมีส่วนร่วมของผู้ใช้ ในภาษาอังกฤษ: มันเป็นวอลเล็ตเติมเงินที่ใช้จ่ายแรงจูงใจทางการตลาด ไม่ใช่กล่องนิรภัยที่เก็บหลักประกันของนักเทรดหรือเงินชำระตลาด

ความพยายามในการอายัดทรัพย์สินให้ผลลัพธ์บางส่วน ประมาณ 164,000 ดอลลาร์สหรัฐจากส่วนที่ 573,000 ดอลลาร์สหรัฐถูกอายัด หมายความว่าส่วนใหญ่ของเงินที่ถูกขโมยได้ถูกฟอกเงินผ่านแพลตฟอร์มแลกเปลี่ยนและบริการผสมก่อนที่จะสามารถแทรกแซงได้

กุญแจนั้นอายุหกปีแล้ว ในบริบทนี้ หกปีในโครงสร้างพื้นฐานของคริปโตเคอเรนซีเทียบเท่ากับการใช้ระบบความปลอดภัยของธนาคารบน Windows XP อายุของกุญแจบ่งชี้ถึงช่องโหว่ที่พบบ่อยแต่สามารถหลีกเลี่ยงได้: องค์กรเติบโตขึ้นจนลืมเลิกใช้ข้อมูลรับรองเก่า

ทีมพัฒนาของ Polymarket ได้ยืนยันกับผู้ใช้ทันทีว่า เงินทุนของผู้ใช้ สัญญาอัจฉริยะ และระบบการซื้อขายไม่ได้รับผลกระทบ การดำเนินงานหลักของแพลตฟอร์ม รวมถึงการสร้างตลาด การซื้อขาย และการปิดตำแหน่ง ยังคงดำเนินต่อไปโดยไม่มีการหยุดชะงัก

การละเมิดถูกจำกัดอยู่ที่วอลเล็ตการแจกรางวัลเท่านั้น ไม่มีผลลัพธ์บนตลาดถูกควบคุม ไม่มียอดเงินของผู้ใช้ถูกแตะต้อง

ความแตกต่างนี้มีความสำคัญ Polymarket ได้ก้าวขึ้นมาเป็นหนึ่งในตลาดพยากรณ์ที่เด่นชัดที่สุดในวงการคริปโต ดึงดูดความสนใจอย่างมากในช่วงเหตุการณ์ทางการเมืองและรอบข่าวสำคัญ การถูกโจมตีที่ทำให้เงินของผู้ใช้หรือความสมบูรณ์ของตลาดถูกคุกคามจะเป็นเรื่องที่ต่างออกไปอย่างสิ้นเชิง ซึ่งอาจทำลายแบบจำลองความเชื่อมั่นทั้งหมดของตลาดพยากรณ์แบบกระจายศูนย์

บริษัทระบุว่ากำลังดำเนินการสอบสวนอย่างละเอียดเกี่ยวกับเหตุการณ์ดังกล่าว การที่การสอบสวนนี้จะนำไปสู่การเปิดเผยต่อสาธารณะเกี่ยวกับวิธีการจัดเก็บกุญแจ ผู้ที่มีสิทธิ์เข้าถึง และนโยบายการหมุนเวียน (หรือการไม่มีนโยบายดังกล่าว) ที่มีอยู่นั้น จะน่าจับตามอง

นี่ไม่ใช่ครั้งแรกที่กุญแจผู้ดูแลระบบที่ล้าสมัยกลายเป็นจุดอ่อน อุตสาหกรรมคริปโตมีปัญหาซ้ำๆ กับโครงสร้างพื้นฐานที่ล้าสมัย โครงการต่างๆ เริ่มต้นด้วยทีมเล็กๆ สร้างกุญแจสำหรับวอลเล็ตต่างๆ ที่ใช้ในการดำเนินงาน แล้วขยายตัวอย่างรวดเร็วโดยไม่ตรวจสอบคุณสมบัติเริ่มต้นเหล่านั้น

เวกเตอร์การโจมตีในกรณีนี้ไม่ใช่ข้อบกพร่องของสัญญาอัจฉริยะ การใช้ประโยชน์จากสินเชื่อแบบฟลัช หรือการจัดการที่ซับซ้อนใน DeFi แต่เป็นกุญแจส่วนตัวที่ควรได้รับการเปลี่ยนหรือเลิกใช้งานมาหลายปีแล้ว การโจมตีที่เรียบง่ายที่สุดมักเป็นอันตรายที่สุด เนื่องจากเป็นวิธีที่ไม่มีใครคิดจะตรวจสอบ

เหตุการณ์ที่คล้ายกันเคยเกิดขึ้นกับโปรเจกต์อื่นๆ ในอดีต วอลเล็ตแบบร้อน คีย์ผู้ดูแลระบบ และที่อยู่ในการปรับใช้จากช่วงเริ่มต้นของโปรเจกต์ ล้วนเป็นพื้นที่เปราะบางที่โจมตีได้ต่อเนื่อง เมื่อกุญแจส่วนตัวถูกโจมตีไม่ว่าจะผ่านฟิชชิง มัลแวร์ หรือบุคคลภายใน ไม่มีกลไกใดบนบล็อกเชนที่สามารถหยุดผู้ถือกุญแจจากการดำเนินการธุรกรรมได้

วอลเล็ตแบบหลายลายเซ็น โมดูลความปลอดภัยแบบฮาร์ดแวร์ และการเปลี่ยนกุญแจเป็นระยะๆ ล้วนเป็นมาตรการป้องกันมาตรฐาน ความจริงที่ว่ากุญแจเดียวที่มีอายุหกปียังคงมีอำนาจควบคุมวอลเล็ตที่มีเงินอยู่ บ่งชี้ว่าอย่างน้อยหนึ่งในแนวทางเหล่านี้ไม่ได้ถูกนำมาใช้สำหรับที่อยู่นี้

สิ่งที่ต้องเข้าใจคือ ความสูญเสีย 700,000 ดอลลาร์สหรัฐนั้นถือว่าค่อนข้างน้อยเมื่อเทียบกับมาตรฐานการโจมตีในวงการคริปโต แต่ความเสียหายต่อชื่อเสียงอาจหนักกว่าตัวเลขทางการเงิน โดยเฉพาะสำหรับแพลตฟอร์มที่ต้องพึ่งพาความเชื่อมั่นของผู้ใช้ในการดำเนินงาน

ตลาดการทำนายมีลักษณะพึ่งพาความเชื่อถือโดยธรรมชาติ ผู้ใช้กำลังเดิมพันด้วยเงินจริงบนผลลัพธ์ต่างๆ และจำเป็นต้องเชื่อว่าแพลตฟอร์มที่จัดการเงินของพวกเขาและตัดสินผลการเดิมพันนั้นมีความมั่นคงในการดำเนินงาน แม้แต่การถูกโจมตีที่จำกัดเฉพาะวอลเล็ตรางวัล ก็ยังก่อให้เกิดข้อสงสัยเกี่ยวกับระบบเดิมอื่นๆ ที่อาจยังคงซ่อนอยู่เบื้องหลัง

สำหรับนักเทรดที่ใช้งาน Polymarket อย่างแข็งขัน ความเสี่ยงทันทีดูเหมือนจะถูกควบคุมไว้ได้ เงินทุนของผู้ใช้ไม่ได้รับผลกระทบ และสัญญาอัจฉริยะของแพลตฟอร์มไม่ได้เกี่ยวข้องกับการโจมตี โครงสร้างพื้นฐานในการดำเนินการที่จัดการการฝาก การถอน และการปิดตำแหน่งตลาดดูเหมือนจะแยกจากวอลเล็ตที่ถูกโจมตีอย่างสมบูรณ์

ความกังวลที่ใหญ่กว่าคือระบบ หาก Polymarket ซึ่งเป็นหนึ่งในแพลตฟอร์มการพยากรณ์ที่มีชื่อเสียงและได้รับทุนสนับสนุนมากที่สุด ยังคงใช้คีย์ที่มีอายุหกปีพร้อมการเข้าถึงเงินทุนอย่างต่อเนื่อง แล้วมาตรฐานการจัดการคีย์ของโครงการเล็กกว่าและมีทรัพยากรน้อยกว่าจะเป็นอย่างไร? เหตุการณ์นี้ควรกระตุ้นให้ผู้ใช้ตั้งคำถามที่ยากขึ้นเกี่ยวกับความปลอดภัยในการดำเนินงานของแพลตฟอร์มใดๆ ที่พวกเขาเก็บเงินทุน ไม่ใช่แค่รายงานการตรวจสอบสัญญาอัจฉริยะ

แพลตฟอร์มที่แข่งขันอาจใช้ช่วงเวลานี้เพื่อแสดงความแตกต่างในด้านแนวทางด้านความปลอดภัย นโยบายการหมุนเวียนกุญแจที่โปร่งใส ข้อกำหนดการใช้หลายลายเซ็นสำหรับวอลเล็ตทุกตัวที่ใช้งาน และการตรวจสอบความปลอดภัยจากบุคคลที่สามอย่างสม่ำเสมอ อาจกลายเป็นสิ่งพื้นฐานสำหรับแพลตฟอร์มที่ต้องการดึงดูดปริมาณการซื้อขายที่มีน้ำหนัก ในตลาดที่ความเชื่อถือคือผลิตภัณฑ์ แพลตฟอร์มที่สามารถแสดงให้เห็นอย่างน่าเชื่อถือถึงความปลอดภัยในการดำเนินงานที่เข้มงวดที่สุด จะมีข้อได้เปรียบที่ชัดเจน

ในขณะนี้ การระงับชั่วคราวจำนวน 164,000 ดอลลาร์สหรัฐหมายความว่า เงินที่ถูกขโมยส่วนใหญ่likely ไม่สามารถกู้คืนได้ เงินที่ผ่านการผสมและแพลตฟอร์มแลกเปลี่ยนแล้ว ถือว่าสูญหายไปในทางปฏิบัติ ไม่ว่าหน่วยงานบังคับใช้กฎหมายหรือการสืบสวนบนบล็อกเชนจะสามารถติดตามเงินที่เหลือไปยังบุคคลที่ระบุได้หรือไม่ ยังเป็นคำถามที่ยังไม่มีคำตอบ แต่โอกาสในการติดตามลดลงเรื่อยๆ ทุกครั้งที่เงินผ่านบริการผสม