24 décembre 2025 – Polymarket, une plateforme de marché de prédiction décentralisée, a confirmé qu'une vulnérabilité de sécurité dans un fournisseur d'authentification tiers a entraîné un accès non autorisé et des transferts de fonds à partir des comptes d'utilisateurs. La faille a principalement affecté les utilisateurs inscrits via Magic Labs, un service fournissant la création de portefeuille par e-mail en un clic pour les comptes Ethereum.
Plusieurs utilisateurs ont signalé une perte soudaine de leur solde malgré l'activation de l'authentification à deux facteurs sur leurs comptes de messagerie. L'analyse des transactions sur la blockchain a révélé que les attaquants ont exploité la faille d'authentification pour contourner les contrôles de connexion, exécutant des appels de contrats intelligents qui ont déplacé de l'Ether et des jetons ERC-20 vers des adresses contrôlées par les attaquants.
L'équipe d'ingénierie de Polymarket a identifié la cause racine dans la couche d'intégration de Magic Labs et a déployé un correctif le 23 décembre. Dans une annonce officielle sur Discord, l'entreprise a indiqué que la vulnérabilité était contenue et qu'aucun autre incident n'a été détecté. Polymarket n'a pas divulgué le nombre total de comptes affectés ni le volume d'actifs compromis mais a souligné que le protocole de négociation central et les contrats intelligents restent sécurisés.
La plateforme prévoit de migrer vers son propre réseau Ethereum Layer 2, POLY, et de mettre fin au service de connexion tiers afin d'éliminer de telles dépendances. Les utilisateurs concernés recevront une communication directe décrivant les options de récupération, bien que Polymarket se soit abstenu de s'engager à indemniser les pertes.
Les experts de l'industrie soulignent l'incident comme un avertissement sur les risques liés à l'externalisation des mécanismes d'authentification critiques. Comme les projets Web3 dépendent de plus en plus de SDK externes pour l'intégration des utilisateurs, des audits de sécurité rigoureux et des mécanismes de repli sont essentiels pour prévenir les vulnérabilités systémiques.
– CryptoReporter.
Commentaires (0)