予測市場の大手Polymarketに対するハッキング被害額が約310万ドルに達したと、ブロックチェーン分析企業AMLBotが報告した。被害額はPolymarketのネイティブトークンPUSDで計算されている。
AMLBotによると、盗まれた資産はPolygonから抜き取られ、その後即座にEthereumへとブリッジされているという。同社は依然としてPolymarketのアカウントを監視し続けている。
現時点でPolymarketはCoinDeskの取材に対し、米国土曜午前の時間帯にコメントを発表していない。
事件公表直後、Polymarketは自社プラットフォーム上での全取引に使用されるネイティブ担保および決済トークンPUSDを保有する被害者に対し、全額返金を約束した。
Polymarketは木曜日にX(旧Twitter)上で、「今朝、第三者ベンダーの侵害により一部ユーザー向けフロントエンドに悪意あるスクリプトが注入されているのを発見しました。これを速やかに制御し、影響を受けた依存関係を除去しました。影響を受けたユーザーには連絡し、全額返金を行っています」と声明を発表した。
ブロックチェーンセキュリティ企業PeckShieldも木曜日、Polymarketユーザーを狙ったフィッシングキャンペーンが展開されているとX上で報告。最初に約1,893ETH相当が盗まれてブリッジされたと伝えた。
同日、ブロックチェーン分析プラットフォームSpecter Analystも「Polymarketユーザーを標的にしたフィッシング攻撃の可能性があり、被害総額は約294万ドルと推定される」と発表した。
被害者の一人であるAsh氏はXで、自身のウォレットがハッキングされたことを明かし、当時は理由がわからなかったと述べた。被害者および攻撃者のウォレットアドレスも共有している。
Polymarketは最近も複数のセキュリティ問題に直面している。今年3月にはブロックチェーン調査者ZachXBTがPolygon上の2つのスマートコントラクトから約52万ドルが流出した可能性を指摘したが、Polymarket側は資金は安全だと説明している。
昨年12月には同プラットフォームのDiscordチャンネルでユーザーから資金消失や不審なログイン試行の報告があり、セキュリティインシデントを確認。原因は第三者のログインプロバイダーへの不正アクセスと判断された。
今回のフィッシング攻撃報告は、PolymarketがWall Street Journalの記事を契機に、虚偽のソーシャルメディアによるプロモーションでユーザーの勝利自慢を誇張したとして連邦当局の調査を受けているとの報道に続くものである。
