Die Prognoseplattform Polymarket hat angekündigt, alle Nutzer zu entschädigen, die während eines Supply-Chain-Angriffs Geld verloren haben. Angreifer schleusten bösartigen JavaScript-Code über eine Frontend-Abhängigkeit eines Drittanbieters in die Website ein und brachten Nutzer dazu, betrügerische Kryptowährungstransaktionen zu bestätigen.

Nach Angaben des Unternehmens betraf der Vorfall ausschließlich das Frontend der Website. Die Backend-Infrastruktur und die internen Server wurden nicht kompromittiert.

Drittanbieter-Abhängigkeit ermöglichte den Angriff

Laut Polymarket verschafften sich die Angreifer zunächst Zugriff auf einen Frontend-Dienstleister der Plattform, bevor sie den Schadcode in die Website einschleusten.

Besucher der offiziellen Polymarket-Website interagierten während des Angriffs unwissentlich mit dem manipulierten Code. Anstatt offensichtliche Anzeichen einer Kompromittierung zu zeigen, forderte das Skript einige Nutzer dazu auf, Blockchain-Transaktionen zu genehmigen, mit denen Kryptowährungen an Wallets der Angreifer übertragen wurden.

Da der Angriff über eine vertrauenswürdige Drittanbieter-Abhängigkeit erfolgte, hatten die Nutzer kaum Anlass, Verdacht zu schöpfen.

Polymarket verspricht vollständige Entschädigung

Polymarket hat bestätigt, dass alle betroffenen Nutzer ihre verlorenen Gelder vollständig erstattet bekommen.

Das Unternehmen hat bislang nicht bekannt gegeben, wie viele Nutzer betroffen waren. Blockchain-Sicherheitsunternehmen schätzen jedoch, dass die Angreifer Kryptowährungen im Wert von rund 3 Millionen US-Dollar aus einer vergleichsweise kleinen Zahl von Konten entwendeten.

Nach bisherigen Erkenntnissen richtete sich der Angriff gegen die Nutzer und nicht gegen die Plattform selbst. Dadurch blieben die in der eigenen Infrastruktur gespeicherten Kundenkonten von Polymarket unversehrt.

Sicherheitsforscher verfolgten die gestohlenen Vermögenswerte

Das Blockchain-Sicherheitsunternehmen PeckShield analysierte den Vorfall und kam zu dem Schluss, dass die Angreifer ParyonUSD im Wert von rund 3 Millionen US-Dollar gestohlen haben.

Anschließend transferierten sie die gestohlenen Vermögenswerte vom Polygon-Netzwerk auf Ethereum und tauschten sie dort in rund 1.893 Ether (ETH) um.

Da sämtliche Transaktionen über öffentliche Blockchains liefen, konnten Ermittler die Bewegungen der gestohlenen Vermögenswerte nachvollziehen.

Das Analyseunternehmen Bubblemaps berichtete zudem, dass offenbar weniger als 15 Konten betroffen waren. Darüber hinaus identifizierten die Forscher mehrere Wallets, die mit den gestohlenen Kryptowährungen in Verbindung stehen. Dadurch lässt sich der weitere Verbleib der Vermögenswerte beobachten.

Supply-Chain-Angriffe bedrohen weiterhin Krypto-Plattformen

Der Supply-Chain-Angriff auf Polymarket verdeutlicht das wachsende Risiko kompromittierter Drittanbieter und externer Software-Abhängigkeiten.

Anstatt direkt die Infrastruktur eines Unternehmens anzugreifen, nehmen Bedrohungsakteure zunehmend Dienstleister und Softwarekomponenten ins Visier, denen Unternehmen vertrauen. Sobald sie Zugriff auf diese Dienste erhalten, können sie Schadcode über legitime Websites an Tausende von Nutzern verteilen.

Für Krypto-Plattformen können solche Angriffe besonders schwerwiegende Folgen haben, da bereits die Bestätigung einer einzigen betrügerischen Wallet-Transaktion ausreicht, um digitale Vermögenswerte dauerhaft an die Angreifer zu übertragen.

Da immer mehr Finanzplattformen auf Dienste von Drittanbietern setzen, müssen Unternehmen ihre Sicherheit entlang der Lieferkette stärken, Systeme kontinuierlich überwachen und externen Code strenger prüfen, bevor er in Produktionsumgebungen eingesetzt wird.


0 Kommentare zu „Supply-Chain-Angriff auf Polymarket kostet Nutzer 3 Millionen US-Dollar“