24 dicembre 2025 – Polymarket, una piattaforma decentralizzata di mercato delle previsioni, ha confermato che una vulnerabilità di sicurezza in un fornitore di autenticazione di terze parti ha causato accesso non autorizzato e trasferimenti di fondi dagli account degli utenti. La violazione ha interessato principalmente gli utenti che si erano registrati tramite Magic Labs, un servizio che offre la creazione di portafoglio basata sull'email con un solo clic per account Ethereum.
Molti utenti hanno segnalato un improvviso prosciugamento dei saldi nonostante avessero attivato l'autenticazione a due fattori sui propri account di posta elettronica. L'analisi delle transazioni on-chain ha rilevato che gli aggressori hanno sfruttato la falla di autenticazione per aggirare i controlli di accesso, eseguendo chiamate a contratti intelligenti che spostavano Ether e token ERC-20 verso indirizzi controllati dagli aggressori.
Il team di ingegneria di Polymarket ha identificato la causa principale nello strato di integrazione di Magic Labs e ha implementato una patch il 23 dicembre. In un annuncio ufficiale su Discord, l'azienda ha affermato che la vulnerabilità era stata contenuta e che non sono stati rilevati ulteriori incidenti. Polymarket non ha divulgato il numero totale di account interessati né il volume di asset compromessi, ma ha sottolineato che il protocollo di trading principale e i contratti intelligenti rimangono sicuri.
La piattaforma prevede di migrare al proprio network Ethereum Layer 2, POLY, e di ritirare il servizio di login di terze parti per eliminare dipendenze simili. Gli utenti interessati riceveranno una comunicazione diretta che descrive le opzioni di recupero, sebbene Polymarket non abbia ancora promesso alcun risarcimento per le perdite.
Gli esperti del settore evidenziano l'incidente come un monito sui rischi di esternalizzare meccanismi di autenticazione critici. Poiché i progetti Web3 si affidano sempre più a SDK esterni per l'onboarding degli utenti, audit di sicurezza rigorosi e controlli di fallback sono essenziali per prevenire vulnerabilità sistemiche.
– CryptoReporter.
Commenti (0)