24 de desembre de 2025 – Polymarket, una plataforma descentralitzada de mercats de prediccions, va confirmar que una vulnerabilitat de seguretat en un proveïdor d'autenticació de tercers va provocar accés no autoritzat i transferències de fons des dels comptes dels usuaris. La violació va afectar principalment als usuaris que es van registrar a través de Magic Labs, un servei que ofereix la creació de carteres basades en correu electrònic amb un clic per a comptes d'Ethereum.
Diversos usuaris van informar d'una pèrdua sobtada de saldo, tot i haver activat l'autenticació de dos factors als seus comptes de correu electrònic. L'anà lisi de les transaccions a la cadena va revelar que els atacants van aprofitar la vulnerabilitat d'autenticació per eludir els controls d'inici de sessió, executant crides a contractes intel·ligents que van moure Ether i tokens ERC-20 a adreces sota el control de l'atacant.
L'equip d'enginyeria de Polymarket va identificar la causa arrel a la capa d'integració de Magic Labs i va desplegar un pegat el 23 de desembre. En un anunci oficial a Discord, l'empresa va indicar que la vulnerabilitat estava contiguda i que no s'han detectat més incidents. Polymarket no va revelar el nombre total de comptes afectats ni el volum d'actius compromesos, però va destacar que el protocol central de comerç i els contractes intel·ligents romanen segurs.
La plataforma té previst migrar a la seva pròpia xarxa Ethereum de capa 2, POLY, i retirar el servei d'inici de sessió de tercers per eliminar dependències similars. Els usuaris afectats rebran una comunicació directa que descrigui les opcions de recuperació, tot i que Polymarket no s'ha compromès a compensar les pèrdues.
Els experts del sector destaquen l'incident com una lliçó de precaució sobre els riscos d'externalitzar mecanismes d'autenticació crÃtics. A mesura que els projectes Web3 confien cada vegada més en SDKs externs per a l'incorporació d'usuaris, són essencials les auditories de seguretat rigoroses i els controls de recanvi per evitar vulnerabilitats a nivell del sistema.
– CryptoReporter.
Comentaris (0)