Злоумышленник вывел более 600 000 долларов с Polymarket, атаковав его смарт-контракт UMA CTF Adapter в сети Polygon. Расследователь блокчейн-транзакций ZachXBT сообщил об эксплойте и идентифицировал кошелек атакующего как 0x8F98075db5d6C620e8D420A8c516E2F2059d9B91.
ZachXBT сначала выпустил экстренное оповещение в своем Telegram-канале, после чего Bubblemaps предупредила пользователей о необходимости приостановить любую активность на Polymarket, поскольку убытки платформы приблизились к отметке в 600 000 долларов.

Целевой контракт, UMA CTF Adapter, представляет собой пользовательский уровень интеграции, который позволяет проводить расчеты по рынкам предсказаний Polymarket через Оптимистический Оракул UMA. Он не является частью основного протокола UMA, прошедшего аудит.
Как произошел эксплойт Polymarket: уязвимость смарт-контракта
UMA CTF Adapter — это пользовательский код интеграции, написанный и развернутый Polymarket, а не канонический контракт UMA. Как ясно указано в собственной документации UMA, интеграторы протоколов создают собственные адаптерные контракты поверх Оптимистического Оракула, и эти адаптеры несут специфическую для проекта логику и предположения о доверии, которые полностью выходят за рамки модели безопасности UMA.
Именно в этом структурном разрыве эксплойт Polymarket нашел свою поверхность. CTF Adapter кодирует пользовательскую экономику и контроль доступа, которые определяют, как рассчитываются позиции на рынках предсказаний и как движутся средства.
Основной обменный контракт Polymarket прошел формальный аудит безопасности от ChainSecurity в 2021–2022 годах, по результатам которого все выявленные критические проблемы были устранены до развертывания в основной сети. Этот аудит не охватывал UMA CTF Adapter. Эксплойт охватил.
Это повторяющийся паттерн в сбоях DeFi-платформ: аудиты покрывают только компоненты, представленные на рассмотрение, а не уровни интеграции, добавленные впоследствии.
История Polymarket, связанная с рисками, сопутствующими оракулам, не нова. Предыдущий инцидент, связанный с ошибочными внесетевыми данными, поданными в стек оракулов Polymarket, так называемое «дело Парижа», продемонстрировал, что конструкция адаптера и оракула представляет собой системное слабое место для рынков предсказаний, независимо от того, корректно ли функционируют базовые контракты.
След в блокчейне и что показывают данные
Данные в блокчейне зафиксировали, что злоумышленник изымал по 5000 токенов $POL каждые 30 секунд во время активной фазы вывода средств, что указывает на автоматизированный скрипт, выполняющий повторяющиеся вызовы контракта. К моменту выпуска оповещения злоумышленник вывел около 600 000 долларов по данным Bubblemaps, в то время как оценка ZachXBT подтвержденных потерь составила более 520 000 долларов.
Поведение после эксплойта соответствует ранней стадии отмывания средств в блокчейне. Злоумышленник распределил похищенные средства по 15 отдельным адресам кошельков по схеме фрагментации, призванной усложнить отслеживание цепочки владения и замедлить любые попытки заморозки или восстановления.
На момент публикации этих сведений распределенные средства остаются на этих 15 адресах, при этом подтвержденного перемещения в миксер или кроссчейн-мост не зафиксировано. Публичная идентификация ZachXBT исходного кошелька дает следователям четную отправную точку в блокчейне, хотя фрагментация по 15 адресам усложняет последующее восстановление без содействия бирж.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Ahmed Barakat




