Polymarketin frontend-hyökkäys vei noin 3 miljoonaa – yhtiö lupaa korvata käyttäjille
- Hyökkäys ei kohdistunut älysopimuksiin vaan kolmannen osapuolen toimittajaan, jonka kautta frontendiin ujutettiin haitallista koodia.
- Menetykset olivat noin 2,9–3 miljoonaa dollaria PUSD:ssa, eivät verkossa kiertäneitä 29 miljoonaa.
- Bubblemapsin mukaan kohteeksi joutui alle viisitoista tiliä, ja varat vaihdettiin noin 1 893 etheriksi.
- Polymarket vahvisti murron noin 15 minuutissa ja lupasi korvata uhreille menetykset täysimääräisesti.
Hyökkääjät eivät murtaneet Polymarketin älysopimuksia vaan kolmannen osapuolen toimittajan, jonka kautta palvelun verkkosivulle ujutettiin haitallista koodia. Tapaus muistuttaa, että lompakon liittäminen tuttuunkin sivustoon voi olla riski.
Polymarketin älysopimuksiin ei murtauduttu. Silti ennustemarkkina-alustan käyttäjiltä katosi noin kolme miljoonaa dollaria vuorokauden sisällä. Isku tuli sieltä, mistä harva osaa varoa, eli verkkosivun omasta koodista.
Tapaus käynnistyi torstain ja perjantain 25. kesäkuuta vaiheilla. Polymarketin käyttämä kolmannen osapuolen toimittaja vaarantui, ja hyökkääjät ujuttivat haitallista JavaScript-koodia palvelun käyttöliittymään (frontendiin) osalle käyttäjistä. Kyse oli toimitusketjuhyökkäyksestä (supply chain), ei älysopimuksen haavoittuvuudesta.
Toimitusketjuhyökkäys (supply chain)
Hyökkääjä ei murra kohdetta suoraan vaan sen käyttämää ulkopuolista palvelua tai koodikirjastoa. Kun luotettu toimittaja vaarantuu, haitallinen koodi pääsee sisään ikään kuin etuovesta.
Kun käyttäjä liitti lompakkonsa saastuneeseen sivuun, häneltä pyydettiin hyväksyntöjä, jotka tyhjensivät PUSD:n eli Polymarketin oman vakuustokenin. Yksi klikkaus antoi haitalliselle sopimukselle luvan siirtää tokenit pois, eikä peruutusta ehtinyt tehdä.
Lompakon liittäminen ja maksun hyväksyminen näyttävät tavallisesti täysin rutiininomaisilta, eikä moni käyttäjä siksi huomannut haitallisia hyväksyntöjä ajoissa. Hyökkäys ei koskenut kaikkia, vaan niitä, joille saastunut versio sivusta latautui.
Samaan aikaan liikkeellä oli erillinen kalastelukampanja. Mistä tavallinen käyttäjä olisi voinut tietää, että tuttu sivu oli kaapattu?
Vahingot jäivät onneksi rajatuiksi. Bubblemaps laski, että alle viisitoista tiliä joutui kohteeksi, ja muut tutkijat puhuvat noin yhdestätoista lompakosta.
Varat siirrettiin sillan kautta Polygon-verkosta Ethereumiin ja vaihdettiin noin 1 893 etheriksi yhteen osoitteeseen. Kokoaminen yhteen lompakkoon on tuttu vaihe varojen pesussa, koska se vaikeuttaa jäljittämistä.
Polymarket reagoi nopeasti. Yhtiö vahvisti murron noin viidessätoista minuutissa, eristi tapauksen ja poisti vaarantuneen riippuvuuden.
Tiedottaja Connor Brandi kertoi, että uhreihin otetaan yhteyttä ja menetykset korvataan täysimääräisesti. Aikataulua korvauksille ei kuitenkaan annettu. Yhtiö ei ole myöskään julkisesti nimennyt vaarantunutta kolmannen osapuolen toimittajaa, jonka kautta haitallinen koodi pääsi palveluun.
– Vika ei ollut omassa sopimuskoodissamme vaan ulkopuolisessa riippuvuudessa, ja korvaamme jokaiselle uhrille menetykset täysimääräisesti, Brandi sanoo.
This morning we discovered a 3rd party vendor had been compromised, injecting a malicious script into our frontend for some users. We've contained it & removed the affected dependency. We're contacting impacted users & refunding them in full.
– Polymarket (@PolymarketTrade) June 25, 2026
Tutkijoiden arviot summasta osuvat lähelle toisiaan. Specter laski menetyksiksi noin 2,94 miljoonaa dollaria PUSD:ssa, ja PeckShield pyöristää luvun noin kolmeen miljoonaan.
Verkossa kiertänyt 29 miljoonan dollarin summa on virheellinen, ja se juontuu erään uutissivuston verkko-osoitteessa olleesta kirjoitusvirheestä. Tapausta selvittivät myös GoPlus Security ja Bubblemaps.
Tapaus on varsin selvä turvallisuusoppi. Lompakon liittäminen tuttuunkin sivustoon voi olla riski, jos sivuston koodi on vaarannettu eikä vika ole lohkoketjussa lainkaan.
Hyökkäysmuoto on yleistynyt, koska sovellusten käyttöliittymät nojaavat lukuisiin ulkopuolisiin koodikirjastoihin. Toistaiseksi Polymarket on luvannut korvata vahingot, mutta se jää nähtäväksi, miten yhtiö koventaa toimitusketjunsa jatkossa.
