ポリマーケット、供給網攻撃で300万ドル被害　全額補償へ

分散型予測市場プラットフォームのポリマーケットは、第三者のサービス事業者がハッキングを受けたことを起点に自社サイトが攻撃され、利用者資産約300万ドルが盗まれたと明らかにした。被害を受けた利用者全員への補償手続きに着手した。

ディクリプトが6月25日に伝えたところによると、今回の攻撃はポリマーケットの第三者サービス提供会社が侵害されたことで発生した。攻撃者はこの事業者を通じてポリマーケットのウェブサイトのフロントエンドに悪性コードを挿入し、一部利用者のウォレットから資産を盗み出した。

オンチェーン分析会社のバブルマップス（Bubblemaps）は、被害を受けたアカウントは15件未満で、被害額は約300万ドルと分析した。

ポリマーケットは、悪性コードはすでに除去し、ウェブサイトのセキュリティ上の問題も解消したと説明した。影響を受けたすべての利用者に全額返金を進めているという。

攻撃者は、ポリマーケットの取引に使われる米ドル連動型ステーブルコインのpUSDを利用者のウォレットから盗み出した後、これをイーサリアム（ETH）に交換し、単一のウォレットに移したとみられる。pUSDは、サークル（Circle）の米ドル建てステーブルコインUSDCを担保に発行されるポリマーケット専用のステーブルコインだ。

今回の事案は、ポリマーケットの中核プロトコルではなく、外部サービスの供給網を狙った攻撃だった。中核システムではない協力会社を迂回して利用者資産が盗まれたことで、供給網の安全対策の重要性が改めて浮き彫りになった。

ポリマーケットは5月にも、従業員報酬の支払い用ウォレットが秘密鍵の流出とみられる攻撃を受け、約70万ドルの被害を出していた。当時は社内インフラや利用者資産への直接的な影響は確認されなかったが、2カ月連続でセキュリティ事故が起きたことで、管理体制への懸念が強まっている。