🛡️ Executive Summary
- Un componente di terze parti compromesso ha iniettato codice JavaScript malevolo nel frontend di Polymarket inducendo gli utenti ad autorizzare transazioni fraudolente.
- L’attacco ha causato il furto di circa 3 milioni di dollari in stablecoin, successivamente convertiti in Ethereum attraverso operazioni on-chain.
- Polymarket ha rimosso la dipendenza compromessa, avviato il contatto con le vittime e annunciato il rimborso integrale degli utenti coinvolti.
Polymarket, una delle principali piattaforme di prediction market basate su criptovalute, è stata vittima di un attacco supply chain che ha portato al furto di circa 3 milioni di dollari ai danni di un numero limitato di utenti. L’incidente non ha interessato direttamente l’infrastruttura centrale della piattaforma né i server backend, ma è stato reso possibile dalla compromissione di un fornitore esterno utilizzato dal sito web. Attraverso questa violazione gli aggressori sono riusciti a iniettare codice JavaScript malevolo nel frontend ufficiale di Polymarket, inducendo alcune vittime ad autorizzare transazioni fraudolente con i propri wallet. L’episodio conferma come gli attacchi alla supply chain rappresentino una delle minacce più insidiose per l’ecosistema Web3, poiché sfruttano componenti considerati affidabili per compromettere direttamente l’esperienza degli utenti senza dover violare i sistemi principali della piattaforma.
Cosa leggere
Un fornitore esterno compromesso ha aperto la strada all’attacco
Secondo le informazioni diffuse da Polymarket, gli aggressori non hanno compromesso direttamente i server dell’azienda, ma hanno preso di mira un componente sviluppato da un vendor esterno utilizzato dal frontend del sito. Una volta alterata la dipendenza, il codice malevolo è stato distribuito automaticamente attraverso il dominio ufficiale della piattaforma, rendendo estremamente difficile per gli utenti distinguere il comportamento legittimo da quello fraudolento.
Durante la finestra temporale dell’attacco, alcuni visitatori hanno visualizzato richieste di autorizzazione apparentemente normali che in realtà permettevano agli aggressori di ottenere il controllo dei fondi presenti nei wallet collegati. Questo tipo di compromissione risulta particolarmente efficace perché sfrutta la fiducia riposta dagli utenti nel sito ufficiale e aggira molti dei tradizionali indicatori utilizzati per riconoscere campagne di phishing o siti contraffatti.
Lo script JavaScript induceva transazioni fraudolente
L’elemento centrale dell’attacco consisteva nell’iniezione di uno script JavaScript dannoso direttamente all’interno del frontend della piattaforma. Il codice modificava il comportamento dell’interfaccia utente mostrando richieste di firma o autorizzazione che apparivano coerenti con le normali operazioni eseguite su Polymarket. Gli utenti che approvavano tali richieste autorizzavano inconsapevolmente trasferimenti di fondi verso wallet controllati dagli aggressori. Questo approccio sfrutta una delle caratteristiche tipiche delle applicazioni decentralizzate: la necessità di autorizzare operazioni tramite wallet esterni. Quando l’interfaccia viene compromessa, anche una piattaforma perfettamente funzionante dal punto di vista infrastrutturale può trasformarsi in un veicolo per il furto di criptovalute. La natura client-side dell’attacco rende inoltre molto più complesso individuare rapidamente l’origine del problema, poiché il backend continua a operare normalmente mentre il codice distribuito ai browser degli utenti viene alterato.
Le analisi on-chain confermano un furto di circa 3 milioni di dollari
Le ricostruzioni effettuate dalle società di sicurezza PeckShield e Bubblemaps hanno permesso di seguire il percorso dei fondi sottratti attraverso la blockchain. Secondo le analisi, il valore complessivo del bottino si aggira intorno ai 3 milioni di dollari in stablecoin, mentre il numero di wallet compromessi sarebbe rimasto relativamente contenuto, inferiore a quindici account.
Dopo il furto, gli asset sono stati trasferiti dalla rete Polygon verso Ethereum, dove gli aggressori hanno convertito i fondi in circa 1.893 ETH, rendendo più difficile il successivo recupero delle criptovalute. L’utilizzo delle blockchain pubbliche ha comunque consentito agli analisti di monitorare ogni movimento e ricostruire con precisione le principali fasi dell’operazione, confermando ancora una volta come la trasparenza delle reti decentralizzate rappresenti uno strumento fondamentale per le attività di threat intelligence e blockchain forensics.
Polymarket interviene rapidamente e promette il rimborso completo
Dopo aver individuato l’anomalia, Polymarket ha dichiarato di aver rimosso immediatamente la dipendenza compromessa, interrompendo la distribuzione del codice malevolo e limitando la finestra temporale dell’attacco. L’azienda ha inoltre annunciato che contatterà personalmente tutti gli utenti coinvolti e procederà al rimborso integrale delle somme sottratte.
La decisione rappresenta una presa di responsabilità significativa, soprattutto considerando che la compromissione non ha interessato direttamente l’infrastruttura proprietaria ma un componente di terze parti. Sebbene la piattaforma non abbia ancora diffuso informazioni dettagliate sull’identità del vendor coinvolto né sulle specifiche modalità della compromissione, la rapidità della risposta ha contribuito a contenere il numero delle vittime e a ridurre l’impatto reputazionale dell’incidente.
Gli attacchi supply chain diventano una minaccia crescente nel settore crypto
L’incidente che ha colpito Polymarket rientra in una categoria di attacchi sempre più frequente nel panorama della sicurezza informatica. Gli attacchi supply chain non prendono direttamente di mira l’obiettivo finale, ma sfruttano librerie software, framework, servizi di analytics, CDN o altri componenti esterni integrati nelle applicazioni. Una volta compromesso uno di questi elementi, il codice malevolo viene distribuito automaticamente attraverso il sito ufficiale, beneficiando della fiducia che utenti e browser attribuiscono al dominio originale. Nel settore delle criptovalute questa tecnica risulta particolarmente pericolosa perché basta alterare il comportamento dell’interfaccia per convincere gli utenti ad autorizzare operazioni irreversibili sulla blockchain. Negli ultimi anni numerose piattaforme DeFi, marketplace NFT e servizi Web3 sono stati colpiti da compromissioni analoghe, dimostrando come la sicurezza delle dipendenze software sia diventata uno degli aspetti più critici nella progettazione delle moderne applicazioni decentralizzate.
La gestione delle dipendenze esterne diventa una priorità strategica
La compromissione evidenzia quanto sia delicato il rapporto tra piattaforme Web3 e fornitori di componenti software esterni. Anche aziende con valutazioni miliardarie, come Polymarket, possono diventare vulnerabili se uno degli elementi della propria supply chain digitale viene compromesso. La protezione delle dipendenze richiede procedure sempre più rigorose, che comprendono verifica continua dell’integrità del codice, controllo delle modifiche distribuite dai vendor, utilizzo di Subresource Integrity (SRI), Content Security Policy (CSP), monitoraggio in tempo reale delle librerie esterne e sistemi di rilevamento delle anomalie lato client. Ridurre la fiducia implicita nei componenti di terze parti rappresenta oggi una delle principali sfide per le piattaforme decentralizzate, dove il frontend costituisce spesso il punto di contatto più critico tra utenti e smart contract.
L’episodio rafforza il dibattito sulla sicurezza del frontend Web3
L’attacco subito da Polymarket dimostra che la sicurezza delle piattaforme blockchain non dipende esclusivamente dalla robustezza degli smart contract o dall’affidabilità dell’infrastruttura backend. Anche un frontend apparentemente sicuro può trasformarsi in un efficace vettore di compromissione quando viene alterato attraverso una dipendenza esterna. Il rimborso integrale annunciato dalla piattaforma rappresenta un segnale positivo verso la community, ma non elimina le domande sulla necessità di rafforzare i controlli preventivi lungo tutta la catena di distribuzione del software. Con l’aumento della complessità delle applicazioni Web3 e la crescente dipendenza da servizi esterni, gli attacchi supply chain sono destinati a rappresentare una delle principali minacce dell’ecosistema crypto, imponendo agli operatori investimenti sempre maggiori nella protezione dell’intero ciclo di sviluppo e distribuzione delle applicazioni.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
