24 декември 2025 г. – Polymarket, децентрализирана платформа за пазари за прогнози, потвърди, че уязвимост в трета страна доставчик на удостоверяване е довела до неоторизиран достъп и преводи на средства от потребителски акаунти. Нарушението засегна предимно потребители, регистрирали се чрез Magic Labs, услуга, която улеснява създаването на портфейл за Ethereum акаунти чрез едно щракване по имейл.
Няколко потребители съобщиха за внезапно изчерпване на баланса, въпреки че са активирали двуфакторна идентификация за своите имейл акаунти. Анализът на транзакциите в блокчейна показа, че нападателите са използвали уязвимостта в удостоверяването, за да заобиколят контрола за вход, изпълнявайки повиквания на смарт договори, които прехвърлиха Ether и ERC-20 токени към адреси, контролирани от нападателя.
Екипът на Polymarket по инженеринга идентифицира коренната причина във слоя за интеграция на Magic Labs и приложи корекция на 23 декември. В официално съобщение в Discord компанията заяви, че уязвимостта е ограничена и повече инциденти не са открити. Polymarket не разкри общия брой засегнати акаунти или обема на компрометираните активи, но подчерта, че основният търговски протокол и смарт договори остават сигурни.
Платформата планира да мигрира към собствената си Ethereum Layer 2 мрежа, POLY, и да прекрати използването на услугата за вход от трета страна, за да елиминира подобни зависимости. Засегнатите потребители ще получат директна комуникация, в която ще бъдат описани опциите за възстановяване, въпреки че Polymarket не се ангажира с обезщетение за загуби.
Специалисти от индустрията подчертават инцидента като предупреждение за рисковете от аутсорсване на критични механизми за удостоверяване. Тъй като Web3 проектите все по-често разчитат на външни SDK за onboarding на потребители, стриктните проверки на сигурността и резервните контролни механизми са от съществено значение за предотвратяване на системни уязвимости.
– CryptoReporter.
Коментари (0)