2025. dec. 24. – A Polymarket, egy decentralizált előrejelzési piac platform, megerősítette, hogy egy harmadik fél hitelesítési szolgáltatónál található biztonsági sebezhetőség miatt jogosulatlan hozzáférés és pénzátutalások történtek a felhasználói fiókokból. A megsértés elsősorban azokra a felhasználókra hatott, akik a Magic Labs-en regisztráltak, amely egy egy kattintásos e-mail-alapú pénztárca-létrehozási szolgáltatást kínál Ethereum-fiókokhoz.
Számos felhasználó számolt be váratlan egyenlegcsökkenésről annak ellenére, hogy e-mail fiókjaikon bekapcsolták a kétfaktoros hitelesítést. A blokkláncon zajló tranzakciók elemzése azt mutatta, hogy a támadók kihasználták a hitelesítési hibát a bejelentkezési ellenőrzések megkerülésére, olyan okos szerződés-hívásokat végrehajtva, amelyek Ether-t és ERC-20 tokeneket a támadó által ellenőrzött címekre mozgatnak.
Polymarket mérnöki csapata a Magic Labs integrációs rétegében azonosította a gyökérokot, és december 23-án telepített egy javítást. Egy hivatalos Discord-bejelentésben a vállalat közölte, hogy a sebezhetőséget kordában tartották, és további incidenseket nem észleltek. A Polymarket nem tette közzé az érintett fiókok összes számát vagy a veszélyeztetett eszközök mennyiségét, de hangsúlyozta, hogy a központi kereskedési protokoll és az okos szerződések továbbra is biztonságosak.
A platform tervezi, hogy átáll a saját Ethereum Layer 2 hálózatára, a POLY-ra, és kivonja a harmadik fél bejelentkezési szolgáltatását, hogy megszüntesse az ilyenfajta függőségeket. Az érintett felhasználók közvetlen tájékoztatást kapnak a helyreállítási lehetőségekről, bár a Polymarket nem vállalta a kárpótlást.
A szakértők ezt az incidenst figyelmeztető példaként értékelik a kritikus hitelesítési mechanizmusok kiszervezésének kockázatairól. Ahogy a Web3 projektek egyre inkább külső SDK-kra támaszkodnak a felhasználói onboardinghoz, a szigorú biztonsági auditokra és a visszaállítási (fallback) kontrollokra van szükség a rendszerszintű sebezhetőségek megelőzéséhez.
– CryptoReporter.
Hozzászólások (0)