预测市场平台 Polymarket 周五确认了一个安全漏洞,将其归因于与用于充值操作的钱包相关的可能的私钥泄露。该公司表示用户资金和市场解决流程没有受到影响。
在 X 的一份声明中,Polymarket 开发商澄清说,核心智能合约和主要基础设施不受影响。这一保证得到了产品负责人 Akanshu Jain 和其他团队成员的响应。该事件首先由区块链调查员 ZachXBT 发现,他在 Polygon 网络上标记了与 Polymarket 相关的 UMA 条件代币框架 (CTF) 适配器合约上的可疑活动,初步损失估计为 520,000 美元。
涉嫌 Polymarket 适配器合约攻击者的地址。来源:Polygonscan
Polymarket 的工程副总裁 Josh Stevens 提供了更多详细信息,解释说该漏洞利用内部充值配置中的六年私钥进行隔离。与该密钥关联的所有权限均已被撤销。受损的 UMA CTF 适配器是一个预言机合约,可通过 UMA 的乐观预言机促进预测市场的解决。
根据区块链分析平台的数据,该漏洞造成的损失此后不断攀升。可视化平台 Bubblemaps 报告称,攻击者正在系统性地耗尽资金,累计大约 60 万美元。 Lookonchain 估计,截至周五上午(UTC),从合约中消耗的总金额约为 660,000 美元。
来源:气泡图
Polymarket于2022年初集成了UMA的预言机解决方案,位居全球第二大预测市场,月交易量达37亿美元。 Cointelegraph 审查的链上数据显示,有 100 多笔小额交易流入攻击者的钱包,其中大部分涉及最多 5,000 个 Polygon (POL) 代币的转账。
Cointelegraph 联系了 Polymarket 和 UMA 以征求更多评论,但截至发稿时尚未收到回复。