24. Dezember 2025 – Polymarket, eine dezentrale Prognosemarktplattform, bestätigte, dass eine Sicherheitslücke bei einem Drittanbieter-Authentifizierungsdienst zu unbefugtem Zugriff und Überweisungen von Geldern aus Nutzerkonten geführt hatte. Der Verstoß betraf hauptsächlich Nutzer, die sich über Magic Labs registriert hatten, einen Dienst, der mit einem Klick eine E-Mail-basierte Wallet-Erstellung für Ethereum-Konten ermöglicht.
Mehrere Nutzer meldeten plötzliche Kontostandsabflüsse, obwohl sie die Zwei-Faktor-Authentifizierung ihrer E-Mail-Konten aktiviert hatten. Die Analyse von Transaktionen auf der Blockchain zeigte, dass Angreifer die Authentifizierungs-Schwachstelle ausnutzten, um Login-Kontrollen zu umgehen und Smart-Contract-Aufrufe auszuführen, die Ether und ERC-20-Token auf Adressen verschoben, die vom Angreifer kontrolliert wurden.
Das Engineering-Team von Polymarket identifizierte die Hauptursache in der Integrationsschicht von Magic Labs und implementierte am 23. Dezember einen Patch. In einer offiziellen Discord-Ankündigung erklärte das Unternehmen, dass die Sicherheitslücke eingedämmt sei und keine weiteren Vorfälle festgestellt wurden. Polymarket gab weder die Gesamtzahl betroffener Konten noch das Volumen der kompromittierten Vermögenswerte bekannt, betonte jedoch, dass das Kern-Handelsprotokoll und die Smart Contracts weiterhin sicher seien.
Die Plattform plant, auf ihr eigenes Ethereum Layer-2-Netzwerk POLY umzusteigen und den Drittanbieter-Login-Dienst abzuschalten, um ähnliche Abhängigkeiten zu beseitigen. Betroffene Nutzer erhalten direkte Informationen, die Optionen zur Wiederherstellung erläutern, wobei Polymarket sich jedoch nicht zu einer Entschädigung für Verluste festgelegt hat.
Branchenexperten sehen den Vorfall als Warnung vor den Risiken der Auslagerung kritischer Authentifizierungsmechanismen. Da Web3-Projekte zunehmend auf externe SDKs für den Benutzereintritt angewiesen sind, sind gründliche Sicherheitsprüfungen und Fallback-Kontrollen entscheidend, um systemische Schwachstellen zu verhindern.
– CryptoReporter.
Kommentare (0)