アプリPolymarketのユーザーの間で、Googleを通じてログインした後に資金が消えたと報告するwalletの攻撃が多発していることが明らかになっています。
調査中の調査では、最近の認証方法とフィッシング攻撃に脆弱性があることが明らかになっています。以下にすべての詳細を示します。
Summary
Polymarketのユーザーが攻撃を受け、Google経由でアクセスした後にwalletが空になったと報告
過去数か月間、Polymarketという市場予測のための人気プラットフォームの複数のユーザーが心配なシナリオを報告しました。Googleを通じてアクセスした後、彼らのwalletが謎のうちに空になってしまったのです。
標準的なWeb3ウォレットを使用している人々、例えばMetaMaskやTrustwalletのようなものは関与していませんが、OAuthやEmail OTPを通じた最新のアクセス方法に依存しているユーザーが主な被害者のようです。
この問題は、多くの人々にこれらの新しい認証方法のセキュリティとシステムの可能な欠陥について疑問を投げかけました。
最初に問題を報告したユーザーの一人はHHeegoで、PolymarketのDiscordコミュニティのメンバーです。彼の声明によると、8月5日にUSD Coin (USDC)で約$1.085,80をBinanceを通じてPolymarketのアカウントに入金しました。
しかし、預金が見えないまま何時間も待った後、彼はPolymarketのDiscordサーバーに参加して支援を求めました。ここで、他のユーザーも同様の問題に直面していることがわかりました。
ユーザーインターフェースの単純なエラーである可能性が高いことに安心して、HHeegoは心配するのをやめました。少し後、預金はついに彼のポートフォリオに表示されました。
しかし、現れたのと同じ速さで、$1.188,72 USDCの全残高が消えてしまいました。入金前に彼の口座に既にあった$102,92も含まれています。
HHeegoはすぐにPolygonscanのブロックエクスプローラーを通じて取引履歴を調査し、彼の残高が「Fake_Phishing399064」というアカウントに転送されたことを発見しました。
このイベントは悪夢の始まりを示しました。
資金の引き出しにもかかわらず、HHeegoのオープンポジションは合計$2,000のままでした。
この奇妙な詳細は、攻撃の背後にある謎をさらに深め、単なる脆弱性ではなく、より狙いを定めた具体的なものであることを示唆しました。
第二の攻撃とカスタマーサポートの介入
最初は彼のポートフォリオの枯渇が単なるエラーだと思っていました
一時的に、HHeegoは8月11日に$4.111,31の追加金を預けることにしました。
しかし、以前にも起こったように、資金は同じフィッシングアカウントから即座に引き出され、彼の総損失はなんと$5,197.11に達しました。この時点で、HHeegoは自分のアカウントが侵害されたことに気付きました。
その後、彼はすべての操作を閉じることに決めました。それは約$1.000に相当し、残りの資金を彼のBinanceアカウントに引き出しました。驚くべきことに、ハッカーはこれらの資金に触れず、引き出しは成功しました。
これは、攻撃が預金額に限定されており、既に開かれている操作の収益には関係ないという彼の確信をさらに強化しました。
HHeegoが再度Polymarketのカスタマーサポートに連絡したところ、彼のアカウントはおそらく侵害されたため、もう使用しないように言われました。
エージェントは、チームが何が起こったのかをよりよく理解するために取り組んでおり、すぐに追加の詳細を提供すると約束しました。しかし、8月15日に最後のメッセージを受け取った後、チームからの更新はありませんでした。
二番目の犠牲者: Cryptomaniac
別のユーザー、Discordで “Cryptomaniac”として知られている人物も同様の状況を経験しました。8月9日に$745を預けた後、資金は彼の口座から引き出され、HHeegoのケースに関与した同じフィッシングアカウントに送金されました。
最初のPolymarketチームによる支援の試みがあったにもかかわらず、最終的にCryptomaniacは返答を受け取るのをやめました。
数週間にわたる問題解決の試みが失敗に終わった後、カスタマーサポートチームはすべての連絡を停止したと報告しました。
Cryptomaniacは、カスタマーサービスから受け取った声明の1つのスクリーンショットも示しました。その中で、エージェントは攻撃がすでに他の5つの機会に観察されていると述べ、少なくとも3つの追加の被害者の存在を示唆しました。
さらに、攻撃者が被害者の口座にアクセスするために OTP メール認証を使用していたことが明らかになりました。これは単純なフィッシングよりも複雑な違反を意味します。
Polymarketウォレットへの攻撃におけるGoogleアクセスの脆弱性
調査は被害者が使用したアクセス方法に集中しました。
MetaMaskやTrustwalletのようなWeb3ポートフォリオを利用するユーザーとは異なり、影響を受けなかったのは、HHeegoとCryptomaniacの両方がGoogleを通じてアカウントにアクセスしていたためです。
Polymarket、実際には、ユーザーがパスワードやシードなしでアクセスできるようにするためにMagic SDK開発キットを使用しており、GoogleやメールOTPを介してログインを容易にしています。
それにもかかわらず、このシステムはまだ明らかにされていない脆弱性を示しているようです。これにより、攻撃者は被害者のGoogleアカウントを侵害することなく、資金を奪うことができました。
Magic Labsのドキュメントによると、システムは「chiave master utente」を生成し、Amazon Web Services (AWS) のハードウェアセキュリティモジュールに保存されます。
このキーは、ユーザーのデバイスに保存されている暗号化された2番目のキーを復号化するために使用でき、Polymarketでのトランザクションを開始することができます。
それにもかかわらず、両方の被害者はGoogleアカウントへの不正アクセスを一度も経験したことがないと述べており、攻撃の理解をさらに複雑にしています。