Polymarket 预测市场应用的一些用户抱怨,他们通过 Google 帐户登录后,钱包被神秘掏空。
存款后,用户发现自己的钱包被掏空,留下了余额为零。这些攻击并未针对依赖 MetaMask 或 Trustwallet 等钱包浏览器扩展的用户。
Cointelegraph 采访了两名攻击受害者。第一个受害者通过 Discord 用户名“HHeego”表明了自己的身份,并声称自己是地址以 C3d4 结尾的 Polymarket 帐户的所有者。
HHeego 声称,他于 8 月 5 日从币安向 Polymarket 存入了 1,085.80 美元的美元硬币 (USDC)。然而,经过几个小时的等待,这笔存款并没有出现在他在 Polymarket 应用程序中的账户中。
HHeego 认为自己的帐户出现问题,因此加入了 Polymarket Discord 服务器以尝试寻求帮助。他发现很多其他用户也有类似的问题,而且似乎ed 连接到用户界面问题。这让他心里松了口气,也就不再担心了。 当天晚些时候,存款出现在用户界面上。然而,他表示,它“消失的速度几乎和它来的一样快”。事实上,他声称他的 1,188.72 美元 USDC 余额全部消失了。该余额包括存款前账户中的 102.92 美元以及存款本身。
奇怪的是,HHeego 价值 2,000 美元的未平仓交易保持不变。
HHeego 寻求来自 Polymarket 的帮助
HHeego 使用 Polygonscan 区块浏览器检查了他的账户历史记录,发现他的 USDC 余额已发送到标记为“Fake_Phishing399064”的账户。
然后他向客户支持。当客户支持代理听到用户的故事时,他表示难以置信。 “那笔钱你还没取出来吗?”他问道。 “不,我没有,”该用户回答道。 “你确定当时不是你吗?”经纪人问道。 “我一个我 100% 确定。”该用户回答道。
在下图中,Cointelegraph 已编辑了该代理的屏幕名称以保护他的隐私。
HHeego 与客户服务的对话代理人。来源:HHeego。
特工询问 HHeego 是否“你的 PK 被泄露或者你被钓鱼了”。这位自称是加密世界新人的用户告诉 Cointelegraph,他一开始并不明白特工所说的“PK 泄露”是什么意思。 HHeego 表示,他从未使用过浏览器扩展钱包,只使用过 Google 登录访问 Polymarket。
在询问了更多问题后,特工告诉他,团队正在调查该异常情况,并将当他们发现更多信息时联系他。
另外 4,000 美元被盗
HHeego 相信钱包流失是某种最终会解决的“故障”,因此额外存入了 4,111.31 美元8月11日,与之前一样,“假钓鱼”账户耗尽了所有资金,给美国带来了巨大损失。er 的总损失为 5,197.11 美元。
此时,用户确信他的 Polymarket 帐户已被黑客入侵。他关闭了所有交易,资金总额接近 1,000 美元,并将余额提取到他的币安账户。这些交易的收益没有被攻击者触及,并且提款成功。
最近:根据高管的说法,美国需要保持加密货币竞争力的 6 件事
检索后他的资金,HHeego再次联系了客服。这次,客服代表告诉他,他的帐户已被盗用,他应该停止使用该帐户。据该用户称,客服人员还告诉他“他们已经接近 100% 了解发生的事情了。”
他在 8 月 15 日收到了客户服务部的最后一条消息。在这条消息中,客服人员表示这次攻击是“一个复杂的情况”,团队希望在传达下一步行动之前了解所有细节。然后,该特工将 HHeego 推荐给另一位团队成员。
报告了来自 Polymarket 的最新客户服务消息。资料来源:HHeego。
HHeego 声称,8 月 15 日之后,他没有收到 Polymarket 团队的任何进一步信息。
区块链数据证实了 HHeego 故事的许多方面。 8 月 5 日,该账户通过“代理”函数调用被抽走 1,188.72 美元 USDC。8 月 11 日,又从该账户中删除了 4,111.31 美元。在这两种情况下,该函数都是由地址以 b3E5 结尾的外部帐户调用的,并且资金被发送到已知的网络钓鱼帐户。 HHeego 表示,他不拥有也不控制以 b3E5 结尾的账户。
8 月 12 日,HHeego 的账户通过多笔交易向币安充值地址转账约 1,000 美元。用户声称这些交易是合法的,这些交易称为“中继呼叫”功能而不是代理。
第二个受害者
第二个受害者的 Discord 用户名是“Cryptomaniac”。据他说,他存入了 745 美元8 月 9 日,存款几个小时后,资金从他的账户中被盗并发送至 Fake_Phishing399064。
Cryptomaniac 联系了客户服务并寻求帮助。起初,客户服务试图帮助他。然而,他们最终停止了沟通,问题也没有得到解决。他说:“起初,他们帮助了我。他们试图检查一些错误之类的东西,但几周又几个月过去了……已经一个月了,他们不再调查了。然后当我给他们发消息时,他们没有回复。”
Cryptomaniac 提供了他从客户服务处收到的一份声明的屏幕截图。其中,特工似乎告诉他,该团队“到目前为止已发现该漏洞 5 次”,这表明至少还存在其他三名受害者。
该团队成员声称攻击者正在使用“电子邮件” otp”登录受害者帐户并列出用于攻击的 IP 地址。该特工要求 Cryptomaniac 提取他自 8 月 12 日起的浏览器历史记录。2 月 2 日至 8 月 4 日。据 Cryptomaniac 称,他无法满足这一请求,因为他已经清除了浏览器历史记录,他声称之前的 Polymarket 客户服务代表告诉他这样做。
Polymarket 代表给 Cryptomaniac 的消息。来源:Cryptomaniac。
区块链数据证实,Cryptomaniac 的账户通过代理函数调用耗尽了 745 USDC,并发送到与前一个受害者的资金发送到的完全相同的 Fake_Phishing 账户。
Google 登录如何在 Polymarket 上工作
根据旧版本的 Polymarket 文档,它使用 Magic Labs 的 Magic 软件开发工具包 (SDK) 来允许无密码、无种子登录。这就是为什么用户无需下载 Metamask 或 Coinbase Wallet 等标准 Web3 钱包即可登录应用程序的原因。
Magic 文档更详细地介绍了该系统的工作原理。据其介绍,用户在第一次使用时会生成一个“用户主密钥”不要注册 Polymarket 等综合服务。该主密钥可用于解密存储在用户设备上的另一个加密密钥。
最近:特朗普加密企业 WLFI 是一场“潜在的拉高转储灾难”
主密钥存储在 Amazon Web Services (AWS) 硬件安全模块上。这意味着攻击者在没有首先通过 AWS 服务器进行身份验证的情况下,应该无法在 Polymarket 上发起交易。
对于 Google 登录,攻击者在无法访问用户的 Google 帐户的情况下应该无法进行身份验证。两名受害者均声称,他们没有看到任何人访问其 Google 帐户的证据。
上述发送给 Cryptomaniac 的消息指出,攻击者使用“电子邮件 OTP [一次性密码]”向服务器进行身份验证。这意味着攻击者必须能够访问受害者的电子邮件帐户。然而,两名受害者都声称他们从未使用电子邮件地址访问该网站。atform。
没有受害者使用钱包扩展来访问该平台。因此,该漏洞似乎仅适用于较新的登录方法类型,例如 Oauth 或电子邮件 OTP。
根据受害者的报告,Polymarket 声称攻击仅针对少数用户,而不是针对少数用户。
杂志:Bankroll Network DeFi 遭到黑客攻击,价值 5000 万美元的网络钓鱼者在 CoW 上转移加密货币:Crypto-Sec
Cointelegraph 通过其官方 Discord 服务器联系了 Polymarket 和 Magic Labs 团队但截至发稿时尚未收到回复。
钱包漏洞是 Web3 用户丢失加密货币的常见方式。 8 月,研究人员发现了一种名为“Dark Skippy”的方法,可用于利用供应链攻击从硬件钱包中窃取比特币。
3 月份,网络安全研究公司 SECBIT Labs 披露了一个旧的 Trustwallet 漏洞,该漏洞允许攻击者猜测用户的种子词。该漏洞已被tched,但研究人员表示该缺陷仍可能影响某些帐户。