PolymarketおよびBubblemapsのオンチェーン調査員によると、侵害されたサードパーティベンダーにより、攻撃者は6月25日(木曜日)にPolymarketのフロントエンドに悪意のあるコードを注入し、約300万ドルのユーザー資金を流出させました。攻撃者は、侵害を受けたベンダーが提供した悪意のあるスクリプトを通じてユーザーのウォレットにアクセスし、プラットフォームのUSDC裏付けステーブルコインであるpUSDを流出させました。
盗まれた資金はその後、PolygonからEthereumにブリッジされ、約1,893 ETHに変換されました。影響を受けたユーザーアカウントは15未満です。Polymarketは、この侵害を封じ込め、影響を受けた依存関係を削除し、影響を受けた顧客に全額返金することを約束したと確認しました。同社は侵害されたベンダーの名前を明らかにすることを拒否しました。
