-
El atacante convirtió los fondos robados en 1.893 ETH, según advierten desde PeckShield.
-
Se trata del segundo incidente que afecta a Polymarket en poco más de un mes.
El equipo del mercado de predicciones Polymarket confirmó este 25 de junio que un ataque a la cadena de suministro resultó en pérdidas de aproximadamente USD 3 millones. Desde la plataforma afirmaron haber contenido el incidente y prometieron reembolsar en su totalidad a los usuarios afectados, sin detallar el mecanismo ni el cronograma.
«Esta mañana descubrimos que un proveedor externo había sido comprometido, lo que inyectó un script malicioso en nuestro frontend para algunos usuarios», publicó el equipo en X.
Un ataque a la cadena de suministro ocurre cuando el vector de intrusión no es el sistema objetivo, sino un proveedor o componente externo que ese sistema utiliza. En este caso, el código (script) fue inyectado en el frontend de Polymarket, es decir, la interfaz visual con la que los usuarios interactúan desde el navegador, y no en los contratos inteligentes del protocolo. Los fondos drenados estaban denominados en PUSD, la stablecoin propia de la plataforma.
Los fondos, convertidos en ETH y rastreados en cadena
El investigador on chain conocido en X como Specter explicó que el atacante drenó fondos de más de 11 wallets y consolidó los activos robados en una dirección de Ethereum. La firma de seguridad PeckShield confirmó que el atacante movió los fondos desde la red Polygon hacia Ethereum, donde los convirtió en aproximadamente 1.893 ETH.
Specter estimó las pérdidas en USD 2,94 millones e identificó la dirección principal de consolidación del atacante (0xe65b1C586757c5510B60F998Eebb14C1eF71E1eD), junto a tres direcciones adicionales. La firma GoPlus Security elevó el número de cuentas afectadas a alrededor de 15.
Finalmente, este incidente es el segundo que afecta a Polymarket en poco más de un mes. El 22 de mayo, como informó CriptoNoticias, la plataforma confirmó un hackeo por más de USD 600.000 cuyo vector fue la filtración de la clave privada de una wallet usada para operaciones internas. En aquel caso, los contratos inteligentes y los fondos de los usuarios no fueron afectados, según la propia plataforma. Esta vez, el ataque llegó por otro camino y el dinero de los usuarios sí fue el objetivo directo.
