24. prosince 2025 – Polymarket, decentralizovaná platforma pro predikční trhy, potvrdila, že bezpečnostní zranitelnost u poskytovatele ověřování třetí strany vedla k neoprávněnému přístupu a převodům prostředků z uživatelských účtů. Porucha se primárně dotkla uživatelů, kteří se registrovali prostřednictvím Magic Labs, služby poskytující jedním klikem vytváření peněženky pro účty Ethereum na základě e-mailu.
Mnoho uživatelů nahlásilo náhlé vyprázdnění zůstatků navzdory tomu, že měli zapnuté dvoufaktorové ověření na svých e-mailových účtech. Analýza transakcí v blockchainu ukázala, že útočníci zneužili chybu v ověřování k obejití přihlašovacích kontrol a provedli volání chytrých kontraktů, které přesunuly Ether a tokeny ERC-20 na adresy pod kontrolou útočníků.
Tým inženýrů společnosti Polymarket identifikoval kořenovou příčinu ve vrstvě integrace Magic Labs a nasadil opravu dne 23. prosince 2025. V oficiálním oznámení na Discordu uvedla společnost, že zranitelnost byla zvládnuta a nebyly zjištěny další incidenty. Polymarket neuvedl celkový počet postižených účtů ani objem zasažených aktiv, ale zdůraznil, že jádrový obchodní protokol a chytré smlouvy zůstávají v bezpečí.
Platforma plánuje migraci na vlastní síť Ethereum Layer 2, POLY, a ukončení služby třetí strany pro přihlašování, aby se odstranily podobné závislosti. Postiženým uživatelům bude zaslána přímá komunikace, která popíše možnosti obnovení, ačkoli Polymarket se nevyjádřil k náhradám za ztráty.
Odborníci z průmyslu incident vnímají jako varovný příběh o rizicích outsourcingu kritických autentizačních mechanismů. Jak projekty Web3 stále více spoléhají na externí SDK pro onboarding uživatelů, je nezbytné provádět důkladné bezpečnostní audity a mít záložní kontroly, aby se zabránilo systémovým zranitelnostem.
– CryptoReporter.
Komentáře (0)