Polymarket, 악성 스크립트로 인한 사용자 자금 유출 후 프론트엔드 공급망 침해 확인 및 전액 환불 약속

— By Tony Rabbit in News

Polymarket, 악성 스크립트로 인한 사용자 자금 유출 후 프론트엔드 공급망 침해 확인 및 전액 환불 약속

Polymarket은 2026년 6월 25일, 손상된 제3자 공급업체가 프론트엔드에 악성 스크립트를 주입하여 일부 사용자가 자금을 유출하는 전송을 승인하도록 속였다고 확인했습니다. Polymarket은 사건을 수습했으며 피해 사용자에게 전액 환불할 것이라고 밝혔습니다. 온체인 분석가들은 약 3백만 달러의 손실을 추정합니다.

2026년 6월 25일, 예측 시장 Polymarket은 웹사이트가 프론트엔드 공급망 공격을 받았다고 확인했습니다. Polymarket의 자체 성명에 따르면, 손상된 제3자 공급업체가 일부 사용자를 위해 사이트에 악성 스크립트를 주입하여, 공격자에게 자금 통제권을 넘기는 거래에 서명하도록 유도했습니다. Polymarket은 사건을 수습하고 영향을 받은 종속성을 제거했으며, 피해 사용자에게 전액 환불할 것이라고 밝혔습니다. 결정적으로, 이것은 스마트 계약 또는 oracle 익스플로잇이 아니었습니다. 플랫폼의 기본 계약은 침해되지 않았습니다. 이 공격은 웹사이트 계층에서 발생했으며, 이는 암호화폐를 자체 보관하는 모든 사람에게 중요한 이유입니다.

Polymarket이 확인한 내용

  • Polymarket은 2026년 6월 25일, 공식 X 계정을 통해 프론트엔드 침해를 공식 확인했습니다.
  • 손상된 제3자 공급업체가 일부 사용자를 위해 프론트엔드에 악성 스크립트를 주입했습니다.
  • 이 스크립트는 피해 사용자가 Polygon의 USDC 지원 달러 토큰인 pUSD의 전송을 승인하도록 유도했습니다.
  • Polymarket은 사건을 수습하고 종속성을 제거했으며, 피해 사용자에게 전액 환불할 것이라고 밝혔습니다.
  • 스마트 계약은 익스플로잇되지 않았습니다. 이것은 웹사이트 계층 공격이었습니다.

무슨 일이 일어났는가

Polymarket은 Benzinga, Decrypt, Protos를 포함한 매체에서 보도된 공개 성명에서 이 사건을 설명했습니다: "오늘 아침, 우리는 제3자 공급업체가 손상되어 일부 사용자를 위해 프론트엔드에 악성 스크립트를 주입했음을 발견했습니다. 우리는 이를 수습하고 영향을 받은 종속성을 제거했습니다. 우리는 피해 사용자에게 연락하여 전액 환불할 것입니다." 간단히 말해, Polymarket 웹사이트가 의존하는 소프트웨어의 일부가 하이재킹되었고, 이를 통해 공격자는 일부 방문자가 로드한 사이트에 악성 코드를 몰래 심었습니다. 이 코드는 Polymarket의 계약을 파괴하지 않았습니다. 대신, 사용자를 속여 공격자가 토큰을 이동할 수 있도록 승인에 서명하게 했습니다.

프론트엔드 공격, 계약 해킹 아님

이러한 구분은 전체 이야기의 핵심입니다. 계약 익스플로잇에서 공격자는 온체인 코드의 결함을 찾아 풀을 직접 고갈시킵니다. 여기서는 계약이 정상적이었습니다. 약한 고리는 웹사이트, 즉 사용자와 블록체인 사이의 계층이었습니다. 제3자 종속성을 손상시킴으로써 공격자는 사이트가 사용자에게 서명하도록 요청하는 내용을 변경하여, 일상적인 상호 작용을 지갑을 고갈시키는 승인으로 만들었습니다. 이것은 공급망 공격이며, 프론트엔드가 종종 그 뒤에 있는 감사된 계약보다 취약하기 때문에 점점 더 흔해지고 있습니다. 이것이 어떤 Polymarket 사건인지 정확히 아는 것도 중요합니다. 이것은 온체인 조사관이 지적한 다른 사건인 2026년 5월 Polygon의 UMA CTF Adapter 익스플로잇과는 별개이며, 플랫폼의 oracle을 둘러싼 이전 분쟁과도 다릅니다. 플랫폼 자체에 대한 배경 정보는 Polymarket 및 예측 시장 가이드를 참조하십시오.

얼마나 탈취되었는가

Polymarket은 피해 금액, 피해자 수 또는 손상된 공급업체의 이름을 공개하지 않았습니다. 유포되는 수치는 Polymarket이 아닌 온체인 분석가들로부터 나온 것이므로 추정치로 읽어야 합니다. PeckShield, Bubblemaps, Specter를 포함한 온체인 보안 회사들은 15개 미만의 지갑에서 약 3백만 달러 상당의 pUSD가 유출되었다고 보고했습니다. 분석가들은 또한 도난당한 pUSD가 Polygon에서 Ethereum으로 브릿지되어 통합되기 전에 ETH로 교환되었다고 보고했습니다. Polymarket 자체는 이러한 수치를 확인하지 않았으므로, 추가 추적이 이루어짐에 따라 수정될 수 있는 분석가 추정치로 간주해야 합니다.

토큰이 "안전"하더라도 이것이 중요한 이유

여기서의 교훈은 불편하지만 중요합니다: 토큰 및 계약 안전은 필수적이지만, 그것만으로는 충분하지 않습니다. 허니팟에 대한 토큰을 확인하고, 계약이 깨끗해 보이는지 확인할 수 있지만, 연결하는 웹사이트가 손상되었고 악성 거래를 승인하는 경우 여전히 자금을 잃을 수 있습니다. 프론트엔드는 그 자체로 공격 표면입니다. 인터페이스 자체가 당신에게 거짓말을 할 때, 남은 유일한 방어책은 지갑이 당신에게 서명하도록 요청하는 내용을 정확히 면밀히 검토하는 것입니다.

프론트엔드 및 승인 공격으로부터 자신을 보호하는 방법

  • 서명하기 전에 모든 서명 및 승인 요청을 읽으십시오. 토큰 승인 또는 전송에 대한 예상치 못한 프롬프트는 의심하십시오. 지갑 서명 요청을 읽는 방법을 참조하십시오.
  • 이 공격은 사용자를 속여 서명하게 하는 것에 의존했으므로, drainer 및 서명 피싱이 어떻게 작동하는지 배우십시오. 지갑 drainer 공격 설명서명 피싱을 참조하십시오.
  • 특히 숨겨진 승인 drain을 주시하십시오. ice phishing 및 숨겨진 승인 drain을 참조하십시오.
  • 오래되거나 악의적인 허용이 재사용되지 않도록 토큰 승인을 정기적으로 검토하고 철회하십시오. 토큰 승인을 철회하는 방법을 참조하십시오.
  • 기본적인 자체 보관 위생을 실천하고 매일 상호 작용하는 사이트에서 큰 잔액을 멀리하십시오.

핵심 요약

Polymarket은 신속하게 대응하여 사건을 수습하고 전액 환불을 약속함으로써 사용자 피해를 제한한 것으로 보입니다. 그러나 이 사건은 암호화폐에서 웹사이트가 위협 모델의 일부라는 분명한 경고입니다. 손상된 종속성은 신뢰할 수 있는 인터페이스를 순식간에 당신에게 불리하게 만들 수 있으며, 악성 거래를 직접 승인한다면 어떤 계약 감사도 당신을 구할 수 없습니다. 모든 서명에 신중을 기하고, 승인을 엄격하게 유지하며, 예상치 못한 프롬프트는 달리 입증될 때까지 적대적인 것으로 간주하십시오. 이것은 진행 중인 이야기이며 분석가에게 귀속된 수치는 변경될 수 있습니다. 이 기사는 정보 제공만을 목적으로 하며 재정적 조언이 아닙니다.