Polymarket exploit UMA adapteren át, 600 ezer dollár tűnt el

A Polymarkethez köthető UMA adapter kulcsát feltörték, a támadó több mint 600 ezer dollárt lopott el az incidens során.

Polymarkethez kapcsolódó UMA adaptert törtek fel, nő a lopott összeg

Az exploitot május 22-én hozták nyilvánosságra, és a blokklánc-elemző platformok gyorsan ráerősítettek ZachXBT megállapításaira. A Bubblemaps szerint a támadó nagyjából 30 másodpercenként ürítette a címét, jellemzően 5000 POL körüli csomagokban, így az ellopott összeg rövid idő alatt mintegy 600 ezer dollárra hízott.

A Lookonchain becslése 660 ezer dollár körüli kárt jelzett a reggeli órákban, ami mutatja, mennyire dinamikusan változott a helyzet élőben.

Különösen aggasztó, hogy mindez a világ egyik legnagyobb prediction market platformjához köthető, hiszen a Polymarket havi forgalma a több milliárd dolláros nagyságrendet is eléri.

Hogyan zajlott az UMA okosszerződés elleni támadás a Polygon hálózaton

A mostani eset technikailag nem egy klasszikus okosszerződés-hiba volt, hanem inkább kulcskezelési bukta. A Polymarket mérnöki csapata szerint egy hatéves, a Polygon hálózaton futó UMA CTF adapterhez kapcsolódó privát kulcs kompromittálódott, amelyet belső top-up műveletekre használtak. Ez a kulcs adott jogosultságot arra, hogy a támadó hozzáférjen az adapterhez kapcsolt pénzeszközökhöz, és megkezdje a POL tokenek kiszivattyúzását.

(A feltételezett Polymarket adapterszerződés-támadó címe. Forrás: Polygonscan)

On-chain adatok alapján több mint száz kisebb bejövő utalás érkezett az exploit során, majd a támadó ezeket folyamatosan mozgatta tovább, jellemzően 5000 POL-os csomagokban. Fontos különbség, hogy a beszámolók szerint maga az UMA okosszerződés logikája és a Polymarket core szerződései nem sérültek, a gyenge pont a régi, rosszul védett privát kulcs volt.

Polymarket és UMA reakciója: felhasználói pénzek, privát kulcs és felelősség

A Polymarket csapata viszonylag gyorsan reagált az esetre, és péntek reggeli X-posztban hangsúlyozta, hogy a felhasználói egyenlegek és a piacok lezárása nem érintett, a core szerződések és az alapinfrastruktúra biztonságban vannak.

Akanshu Jain termékvezető és több munkatárs külön is kiemelte, hogy az exploit egyetlen, belső top-upra használt címhez kötődik. 

Josh Stevens, a Polymarket mérnöki alelnöke szerint egy nagyjából hat éve generált privát kulcs kompromittálódott, amelynek minden jogosultságát azonnal visszavonták.

Az érintett szerződés az UMA Optimistic Oracle-jére épülő CTF adapter volt, amelyet még 2022. február 3-án integrált a platform. A Cointelegraph beszámolója szerint mind a Polymarketet, mind az UMA-t megkeresték további kommentért, de cikkük megjelenéséig nem érkezett érdemi válasz.

Mit jelent a Polymarket exploit a DeFi prediction market ökoszisztémának

Az incidens józan emlékeztető a DeFi prediction market szektor számára arra, hogy nem elég „csak” az okosszerződés-kódot auditálni, a kulcskezelés és az operatív folyamatok ugyanilyen kritikusak. A Polymarket esetében nem sérültek a core szerződések, mégis több mint 600 ezer dollár égett el egy elavult, rosszul védett privát kulcs miatt. Ez különösen kellemetlen egy olyan platformnál, amely havonta milliárd dolláros volument kezel, és amely a valós eseményekre kötött fogadások egyik legnagyobb szereplője.

(Forrás: Bubblemaps)

Várható, hogy az ilyen exploitok hatására a prediction market projektek nagyobb hangsúlyt tesznek a kulcsrotációra, a jogosultságkezelésre és az adapter jellegű infrastruktúra folyamatos felülvizsgálatára.