2025-ci il 24 dekabr – desentralizə edilmiş proqnoz bazarı platforması olan Polymarket, üçüncü tərəf autentifikasiya təminatçısındakı təhlükəsizlik zəifliyinin istifadəçi hesablarına icazəsiz daxilolma və vəsait köçürmələrinə səbəb olduğunu təsdiqlədi. Zəiflik əsasən Ethereum hesabları üçün bir kliklə email əsasında cüzdan yaradan Magic Labs xidməti vasitəsilə qeydiyyatdan keçən istifadəçilərə təsir etdi.
Bir çox istifadəçi, e-poçt hesablarında iki-faktorlu autentifikasiyanı aktivləşdirmələrinə baxmayaraq, balanslarının birdən itməsi barədə xəbər verib. Zəncir üzərində baş verən əməliyyatların analizi göstərdi ki, hücumçular autentifikasiya zəifliyindən istifadə edərək giriş nəzarətini keçiblər, Ether və ERC-20 tokenlərini hücumçunun nəzarətində olan ünvanlara keçirən ağıllı müqavilə çağırışları yerinə yetiriblər.
Polymarket-in mühəndislik komandası Magic Labs inteqrasiya qatında kök səbəbi müəyyənləşdirdi və 23 dekabr tarixində bir yamağı tətbiq etdi. Rəsmi Discord elanında şirkət zəifliyin nəzarət altına alındığını və əlavə heç bir hadisənin aşkar edilmədiyini bildirdi. Polymarket zərər çəkən hesabların ümumi sayını və ya itirilən vəsaitlərin həcmını açıqlamad, lakin əsas ticarət protokolu və ağıllı müqavilələrin hələ də təhlükəsiz olduğunu vurğuladı.
Platforma öz Ethereum Layer 2 şəbəkəsi POLY-ə keçməyi və oxşar asılılıqları aradan qaldırmaq üçün üçüncü tərəf giriş xidmətini dayandırıb ləğv etməyi planlaşdırır. Zərər görən istifadəçilərə bərpa variantlarını əks etdirən birbaşa məlumatlar təqdim ediləcək, ancaq Polymarket zərərlər üçün kompensasiya öhdəliyi götürməyə söz vermədi.
Sənaye mütəxəssisləri bu hadisəni kritik autentifikasiya mexanizmlərinin xarici təminatçılar vasitəsilə idarə edilməsinin risklərinə dair ehtiyat mesajı kimi vurğulayırlar. Web3 layihələri istifadəçi qeydiyyatı üçün xarici SDK-lardan getdikcə çox asılı olduqca, sərt təhlükəsizlik auditi və ehtiyat nəzarət mexanizmləri sistemik zəifliklərin qarşısını almaq üçün zəruridir.
– CryptoReporter.
Şərhlər (0)