Скомпрометований приватний ключ, що датується шістьма роками назад, надав атакуючому доступ до внутрішнього гаманця нагород Polymarket, що призвело до вкрадених коштів на суму близько 700 000 доларів США по 16 адресах. Платформа прогнозування, яка працює на блокчейні Polygon, підтвердила, що порушення не вплинуло на депозити користувачів і не вплинуло на результати ринків.
Уявіть, що хтось знайшов старий запасний ключ від шафи з канцелярськими товарами. Вони не потрапили до сейфу, але досить добре розчистили шафу.
Як відбувався відтік
Ончейн-дослідники ZachXBT та Bubblemaps першими виявили підозрілу діяльність 22 травня. Спочатку збитки оцінювалися приблизно в $520 000, але ця цифра зросла до близько $700 000, коли дослідники відстежили вкрадені кошти через кілька адрес, бірж та міксерів.
Зловмисник діяв швидко, виводячи по 5 000 токенів POL кожні 30 секунд на початкових етапах. Такий систематичний темп свідчить про автоматизацію, а не про хвилювання, коли хтось швидко натискає кнопки.
Компрометований гаманець був старим адміністративним адресом, який використовувався виключно для розподілу нагород за участь користувачів. На англійській: це був гаманець для поповнення, який фінансував промоційні стимули, а не сховище з гарантіями трейдерів або коштами для розрахунків на ринку.
Зусилля щодо заморожування активів принесли часткові результати. Приблизно $164 000 з частини у $573 000 було заморожено, що означає, що більшість вкрадених коштів вже була вимито через біржі та змішувальні сервіси до того, як було можливо втрутитися.
Сам ключ був шести років. Для контексту: шість років у криптовалютній інфраструктурі приблизно дорівнює використанню системи безпеки банку на Windows XP. Вік ключа вказує на поширений, але уникненний вразливий момент: організації виходять за межі початкових практик безпеки, але забувають виводити з експлуатації старі облікові дані.
Відповідь Polymarket і те, що залишилося безпечним
Команда Polymarket майже миттєво заспокоїла користувачів, заявивши, що кошти користувачів, смартконтракти та торгові системи не постраждали. Основні операції платформи, включаючи створення ринків, торгівлю та розрахунки, продовжувалися без перерв.
Порушення обмежувалося виключно гаманцем розподілу нагород. Ринкові результати не маніпулювалися. Баланси користувачів не торкалися.
Ця різниця має значення. Polymarket виник як один із найвідоміших прогнозних ринків у криптовалюті, привернувши значну увагу під час політичних подій та великих новинних циклів. Порушення, яке фактично скомпрометувало кошти користувачів або цілісність ринку, було б зовсім іншою історією — однією, що могла б підірвати всю модель довіри децентралізованих прогнозних ринків.
Компанія заявила, що проводить детальне розслідування інциденту. Варто стежити за тим, чи призведе це розслідування до публічного розкриття інформації про те, як зберігався ключ, хто мав до нього доступ та які політики ротації (або їх відсутність) були встановлені.
Знайомий шаблон у крипто безпеці
Це не перший раз, коли застарілий адміністративний ключ став слабким ланцюгом. Криптоіндустрія постійно стикається з проблемами старої інфраструктури. Проекти запускаються з невеликою командою, генерують ключі для різних операційних гаманців, а потім швидко масштабуються, не перевіряючи ці ранні облікові дані.
Вектор атаки тут не був вадою смартконтракту, експлуатацією флеш-позики чи складною маніпуляцією DeFi. Це був приватний ключ, який слід було змінити або вивести з експлуатації роки тому. Найпростіші експлуатації часто є найбільш шкідливими саме тому, що про них ніхто не думає перевіряти.
Подібні інциденти раніше відбувалися з іншими проектами. Гарячі гаманці, адміністративні ключі та адреси розгортання з перших днів проекту залишаються постійною ціллю для нападників. Коли приватний ключ скомпрометовано — будь то через фішинг, шкідливе ПЗ чи внутрішній зловмисник — немає механізму в мережі, який би зупинив власника від виконання транзакцій.
Багатопідписні гаманці, апаратні модулі безпеки та регулярна зміна ключів — це всі стандартні заходи зменшення ризиків. Той факт, що шестирічний одиночний ключ ще мав повноваження над профінансованим гаманцем, свідчить про те, що принаймні одна з цих практик не застосовувалася для цього конкретного адресу.
Що це означає для інвесторів і користувачів
Ось у чому справа. Втрата у розмірі 700 000 доларів відносно невелика за стандартами криптовалютних атак. Але шкода репутації може перевищити фінансові втрати, особливо для платформи, яка залежить від довіри користувачів для функціонування.
Ринки прогнозів за своєю природою залежать від довіри. Користувачі ставлять реальні гроші на результати і повинні вірити, що платформа, яка керує їхніми коштами та вирішує їхні ставки, функціонує стабільно. Навіть порушення, обмежене гаманцем з винагородами, викликає сумніви щодо того, які ще залишки старих систем можуть приховуватися у тлі.
Для трейдерів, які активно використовують Polymarket, негайний ризик здається під контролем. Кошти користувачів не були скомпрометовані, а смартконтракти платформи не брали участі у витіку. Операційна інфраструктура, яка обробляє депозити, виведення коштів та розрахунки на ринках, здається, була повністю відокремлена від скомпрометованого гаманця.
Більша стурбованість має системний характер. Якщо Polymarket, одна з найвідоміших і найкраще профінансованих прогнозних платформ, використовувала ключ віком шість років з активним доступом до коштів, яким виглядає гігієна управління ключами у менших проектів з обмеженими ресурсами? Цей інцидент повинен надихнути користувачів ставити складніші питання щодо операційної безпеки будь-якої платформи, де вони зберігають кошти, а не лише щодо звітів про аудит смартконтрактів.
Конкурентні платформи можуть використати цей момент, щоб відрізнятися практиками безпеки. Прозорі політики зміни ключів, вимоги до мультипідписів для всіх операційних гаманців та регулярні сторонні аудити безпеки можуть стати обов’язковими умовами для платформ, що прагнуть привернути серйозні обсяги. На ринку, де довіра — це продукт, платформа, яка може переконливо продемонструвати найбільш жорстку операційну безпеку, має значну перевагу.
Наразі часткове заморожування $164 000 означає, що велика більшість вкрадених коштів, ймовірно, не можуть бути відновлені. Кошти, які пройшли через міксерів та біржі, на практиці втрачені. Чи зможуть правоохоронні органи або блокчейн-форензики відстежити залишкові кошти до ідентифікованої сторони — залишається відкритим питанням, але ймовірність цього зменшується з кожною транзакцією через сервіс змішування.