Atak supply chain na Polymarket: użytkownicy stracili około 3 mln dolarów po złośliwym skrypcie - Security Bez Tabu

Atak supply chain na Polymarket: użytkownicy stracili około 3 mln dolarów po złośliwym skrypcie

Cybersecurity news

Wprowadzenie do problemu / definicja

Atak typu supply chain polega na skompromitowaniu zewnętrznego elementu ekosystemu technologicznego, takiego jak dostawca, biblioteka, skrypt frontendowy lub usługa ładowana w przeglądarce. Zamiast atakować główną infrastrukturę organizacji bezpośrednio, napastnicy wykorzystują odziedziczone zaufanie do komponentów firm trzecich, aby dotrzeć do ofiar końcowych.

W środowisku kryptowalutowym taki scenariusz jest szczególnie niebezpieczny. Nawet krótkotrwałe wstrzyknięcie złośliwego kodu do oficjalnej strony może doprowadzić do wyłudzenia autoryzacji transakcji i nieodwracalnej utraty aktywów cyfrowych.

W skrócie

Polymarket poinformował o incydencie bezpieczeństwa, w którym użytkownicy mieli stracić łącznie około 3 mln dolarów. Według opisu zdarzenia źródłem problemu było wstrzyknięcie złośliwego kodu JavaScript do warstwy frontendowej za pośrednictwem zewnętrznego dostawcy.

Osoby odwiedzające oficjalną stronę platformy mogły zostać nakłonione do zatwierdzania fałszywych lub zmanipulowanych operacji. Firma zaznaczyła jednocześnie, że jej własna infrastruktura serwerowa i backend nie zostały naruszone, a poszkodowani użytkownicy mają otrzymać pełny zwrot środków.

Kontekst / historia

Polymarket należy do najbardziej rozpoznawalnych rynków predykcyjnych opartych na kryptowalutach. Platforma umożliwia handel kontraktami powiązanymi z prawdopodobieństwem określonych zdarzeń, w tym wyników politycznych, wydarzeń sportowych czy wskaźników gospodarczych.

Tego typu serwisy od dawna stanowią atrakcyjny cel dla cyberprzestępców. Łączą bowiem duży wolumen transakcji, integracje z portfelami Web3 oraz rozbudowaną warstwę frontendową odpowiedzialną za prezentowanie operacji i inicjowanie podpisów po stronie użytkownika.

Incydent wpisuje się w szerszy trend ataków na łańcuch dostaw oprogramowania. W takich operacjach napastnicy wybierają słabiej chroniony element ekosystemu, a następnie wykorzystują zaufanie użytkowników do legalnej domeny i znanej marki.

Analiza techniczna

Z dostępnych informacji wynika, że mechanizm ataku opierał się na kompromitacji zależności wykorzystywanej w warstwie frontendowej serwisu. Po osadzeniu złośliwego skryptu na oficjalnej stronie atakujący mogli wpływać na to, co użytkownik widział podczas interakcji z aplikacją.

W praktyce oznacza to możliwość modyfikacji interfejsu, wyświetlania mylących komunikatów oraz generowania żądań podpisu, które wyglądały wiarygodnie, ale prowadziły do przekazania kontroli nad aktywami. W takich przypadkach napastnik nie musi kraść haseł czy przełamywać zabezpieczeń serwera. Wystarczy, że skłoni ofiarę do samodzielnego zatwierdzenia szkodliwej transakcji.

To właśnie dlatego ataki frontendowe są tak skuteczne. Użytkownik korzysta z prawidłowej domeny, rozpoznaje markę i zakłada, że każde wyświetlane okno autoryzacji jest zgodne z jego intencją. Jeśli jednak skrypt został podmieniony, interfejs może prezentować fałszywy kontekst operacji lub ukrywać jej rzeczywisty efekt.

Według analiz firm monitorujących blockchain przejęte środki miały zostać następnie przemieszczone między sieciami i wymienione na Ether. Taki model działania jest typowy dla przestępców operujących w ekosystemie Web3, ponieważ utrudnia śledzenie przepływu aktywów i ogranicza szanse na ich odzyskanie.

Szczególnie istotne jest rozróżnienie między kompromitacją dostawcy frontendowego a naruszeniem backendu platformy. Jeśli backend nie został przejęty, oznacza to, że atak ominął klasyczne warstwy serwerowe i uderzył bezpośrednio w relację zaufania między aplikacją przeglądarkową a użytkownikiem.

Konsekwencje / ryzyko

Najbardziej bezpośrednią konsekwencją incydentu była strata finansowa użytkowników, którzy zatwierdzili złośliwe operacje. W świecie kryptowalut takie transakcje mają zwykle charakter nieodwracalny, dlatego szybkość wykrycia i reakcja organizacji mają kluczowe znaczenie.

Z perspektywy biznesowej skutki mogą być jednak znacznie szersze. Obejmują one zarówno uderzenie w reputację, jak i konieczność przeglądu całego ekosystemu zależności wykorzystywanych przez aplikację.

  • utrata zaufania klientów do bezpieczeństwa platformy,
  • presja na szybką i transparentną komunikację kryzysową,
  • konieczność audytu zewnętrznych dostawców oraz skryptów frontendowych,
  • ryzyko wtórnych kampanii phishingowych wykorzystujących rozgłos incydentu,
  • potencjalne skutki regulacyjne, prawne i audytowe.

Dla branży Web3 to kolejny sygnał, że bezpieczeństwo smart kontraktów i kluczy prywatnych nie wystarcza, jeśli podatna pozostaje warstwa prezentacji. Atakujący coraz częściej wybierają manipulację tym, co użytkownik podpisuje, zamiast szukać bardziej złożonych błędów kryptograficznych czy luk backendowych.

Rekomendacje

Organizacje rozwijające aplikacje kryptowalutowe i platformy finansowe powinny wdrożyć wielowarstwowe zabezpieczenia ograniczające ryzyko podobnych incydentów.

  • Ścisła kontrola zależności frontendowych — warto prowadzić pełny rejestr bibliotek, skryptów i usług ładowanych po stronie klienta oraz przypisać im właścicieli technicznych i biznesowych.
  • Stosowanie mechanizmów SRI i CSP — Subresource Integrity oraz restrykcyjne polityki Content Security Policy mogą ograniczyć możliwość uruchomienia nieautoryzowanego kodu.
  • Minimalizacja skryptów zewnętrznych — każdy dodatkowy dostawca zwiększa powierzchnię ataku, dlatego komponenty marketingowe, analityczne i pomocnicze powinny być redukowane do minimum.
  • Monitorowanie zmian w frontendzie — konieczne jest wykrywanie nieautoryzowanych modyfikacji plików JavaScript, sum kontrolnych, DOM oraz procesu ładowania strony.
  • Lepsza walidacja transakcji — interfejs powinien jednoznacznie prezentować adres docelowy, wartość, typ uprawnienia i skutki podpisywanej operacji.
  • Ograniczanie uprawnień dostawców — partnerzy zewnętrzni powinni mieć wyłącznie minimalny dostęp, a współpraca z nimi musi obejmować audyty i ocenę ryzyka.
  • Gotowe procedury reagowania na incydenty Web3 — organizacja powinna dysponować playbookami obejmującymi wyłączenie podatnego komponentu, ostrzeżenia dla użytkowników i współpracę z analitykami blockchain.
  • Edukacja użytkowników — klienci powinni regularnie otrzymywać przypomnienia, by dokładnie analizować każde żądanie podpisu, nawet jeśli pochodzi z oficjalnej strony.

Podsumowanie

Incydent związany z Polymarket pokazuje, że nowoczesne ataki supply chain coraz częściej koncentrują się na warstwie frontendowej, gdzie zaufanie użytkownika można wykorzystać szybciej i skuteczniej niż poprzez klasyczne włamanie do backendu. W tym przypadku skutkiem było przejęcie środków po zatwierdzeniu oszukańczych transakcji wyświetlanych w oficjalnym interfejsie platformy.

Dla zespołów bezpieczeństwa to wyraźne ostrzeżenie. Ochrona aplikacji Web3 musi obejmować nie tylko serwery, portfele i smart kontrakty, ale również cały łańcuch dostaw komponentów webowych, od bibliotek JavaScript po zewnętrzne usługi osadzane w przeglądarce.

Źródła

  1. https://www.bleepingcomputer.com/news/security/polymarket-customers-lose-3-million-in-supply-chain-attack/
  2. https://x.com/PeckShieldAlert
  3. https://x.com/bubblemaps