22 мая, Polymarket - крупнейший децентрализованный прогнозный рынок - потерял около $660k в ходе живого, на глазах у всех развивающегося эксплойта. Атакующий вытягивал примерно по 5000 POL каждые 30 секунд через UMA CTF Adapter - адаптерный контракт, который связывает Polymarket с оракулом UMA для разрешения исходов рынков.

Первым тревогу поднял ZachXBT, следом подключились PeckShield, Bubblemaps и Lookonchain.

Я решила посмотреть сама как и куда ходили украденные с Polymarket средства. Берем Arkham - бесплатно там тоже можно трассировать адерса. https://intel.arkm.com/tracer/c1dab86c-a788-4a82-8a9d-765f3710ae4b. Что видно из графика на ссылке:

1. Сначала деньги были на адресах Polymarket (внутренние/операционные кошельки): • 0x91430CaD2d3975766499717fA0D66A78D814E5c5 (Polymarket) • 0x871D7c0f9E19001fC01E04e6cdFa7fA20f929082 2. Атакующий адрес (куда ушли основные средства): • 0x8F98075db5d6C620e8D420A8c516E2F2059d9B91 (подтверждено на Polygonscan и ZachXBT) 3. Средства пришли на адрес хакера: • 0x8F98075db5d6C620e8D420A8c516E2F2059d9B91 (Polymarket Hacker) 4. Дальше с адреса хакера деньги начали размывать: • Видно $150K, которые ушли с хакерского адреса дальше (в том числе на адреса типа 0xd3C... и другие). Атакующий не держал крупную сумму на одном адресе. Средства были быстро распределены по множеству кошельков (mixing / layering).

• Polymarket + известный независимый расследователь ZachXBT работали с биржами - удалось заморозить/вернуть около $164k. Полный список всех адресов, куда ушли средства, лучше смотреть в реальном времени на Polygonscan по адресу эксплойтера (там видно все исходящие транзакции).

И самое любопытное в этой истории - это не был эксплойт смарт-контракта. Polymarket подтвердил: ни ядро Polymarket, ни контракты UMA не были взломаны. Атакующий получил доступ к приватному ключу операционного кошелька системы выплат ревордов через скомпрометированный deployer-адрес. Затем переинициализировал admin-контракт адаптера и через него вывел collateral. То есть это компрометация ключа и инициализационной уязвимости, а не уязвимость кода.

Вот 7 лет назад на Binance

в мае 2019 была произведена фишинг-атака, когда хакеры через поддельный сайт и социальную инженерию увели 7000 BTC на сумму около 40кк долларов. Точка входа - украденные логины пользователей. Дальше malware в браузере, дальше API-вывод. Один из адресов вывода до сих пор фигурирует в публичных AML-отчетах - bc1qa5wkgaew2dkv56kfvj49j0av5nml45x9ek9hz6 (и адрес не пустой https://blockchair.com/bitcoin/address/bc1qa5wkgaew2dkv56kfvj49j0av5nml45x9ek9hz6). 7 лет монеты с него и связанных кластеров крутятся через Wasabi, ChipMixer, попытки прогона через DEX. И до сих пор флагированы как stolen funds во всех нормальных compliance-движках. Что объединяет Binance 2019 и Polymarket 2026 Ни там, ни там не было взлома кода. На Binance взломали юзеров - через фишинг. На Polymarket взломали оператора - через утечку приватного ключа hot wallet’а для выплат и переинициализацию admin-контракта. В обоих случаях формальный аудит протокола ничего не значил, потому что атака шла сбоку от протокола - через человеческий или операционный слой. Это и есть главный урок 7 лет крипто-индустрии: деньги уходят не через дыры в Solidity или Move, а через дыры в управлении доступом, ключах и операционке. 1. Структура отмыва - как по учебнику. 15 адресов веером, часть в ChangeNOW (no-KYC своп), скорость дроби - под пороги детекции. Это не любитель. Это либо повтор паттерна Lazarus в миниатюре, либо инсайдер, который точно знал, куда бить, и заранее подготовил инфраструктуру отмыва. 2. 5000 POL каждые 30 секунд - это медленное доение. Так делают, когда хотят максимизировать вывод до того, как контракт остановят. И тот факт, что мониторинг ZachXBT поймал это раньше, чем сам Polymarket - это вопрос к их внимательности. Пока индустрия будет полировать формальную верификацию смарт-контрактов, игнорируя операционную безопасность, мы будем читать одни и те же отчеты под разными названиями.

#крипта #AML #onchain #blockchainsecurity #cryptoresearch #crypto #defi