ポリマーケット、供給網攻撃で300万ドル流出　全額補償に着手

分散型予測市場プラットフォームのポリマーケットは、第三者のサービス事業者がハッキングされ、自社サイトが攻撃を受けた結果、利用者資産約300万ドルが流出したと明らかにした。会社は被害を受けた利用者全員への補償手続きに着手した。

ディクリプトが6月25日に報じたところによると、今回の攻撃はポリマーケットの第三者サービス供給事業者が侵害されたことで起きた。攻撃者はこの事業者を通じてポリマーケットのウェブサイトのフロントエンドに悪意あるコードを挿入し、一部利用者のウォレットから資産を盗み出した。

オンチェーン分析会社のバブルマップス（Bubblemaps）は、被害を受けたアカウントは15件未満で、流出額は約300万ドルと分析した。

ポリマーケットは、悪意あるコードはすでに除去し、ウェブサイトのセキュリティ問題も解消したと説明した。影響を受けたすべての利用者に全額返金を進めているとしている。

攻撃者は、ポリマーケットの取引に使われる米ドル連動型ステーブルコインのpUSDを利用者のウォレットから盗み出した後、これをイーサリアム（ETH）に交換し、1つのウォレットに移したとみられる。pUSDは、サークルの米ドル連動型ステーブルコインUSDCを担保に発行されるポリマーケット専用のステーブルコインだ。

今回の事案は、ポリマーケットの中核プロトコルではなく、外部サービスの供給網を狙った攻撃だった。中核システムではない協力会社を迂回して利用者資産が奪われたことで、供給網防衛の重要性が改めて浮き彫りになった。

ポリマーケットは5月にも、従業員向け報酬支払い用ウォレットが秘密鍵流出とみられる攻撃を受け、約70万ドルの被害を出していた。当時は社内インフラや利用者資産への直接的な影響は確認されなかったが、2カ月連続でセキュリティ事故が起きたことで、管理体制への懸念が強まっている。