2025 жылғы 24 желтоқсан — Polymarket, децентрализденген болжау нарығы платформасы, үшінші тараптың аутентификация провайдерінің қауіпсіздік осалдықтарының рұқсатсыз кіруге және пайдаланушылардың есептерінен қаражат аударымдарына әкелгенін растады. Бұл бұзу негізінен Ethereum есепшоттары үшін бір рет басу арқылы электрондық поштаға негізделген әмиян құру қызметін ұсынатын Magic Labs арқылы тіркелген пайдаланушыларға әсер етті.
Көптеген пайдаланушылар электрондық пошта есептерінде екі факторлы аутентификацияны қосқанына қарамастан кенеттен балансынан қаражаттың шығарылуы туралы хабарлады. Желідегі транзакциялар талдауы шабуыл жасаушылардың аутентификация осалдықтарын пайдаланып кіру бақылауларын айналып өтіп, Ether және ERC-20 токендерін шабуыл жасаушының бақыланатын адресіне аударған смарт-контракт шақыруларын іске асырғанын көрсетті.
Polymarket-тің инженерлік тобы Magic Labs интеграция қабатындағы түпкі себепті анықтап, 23 желтоқсанда патч шығарды. Ресми Discord хабарламасында осалдықтың ұстталғаны және одан кейін қосымша інциденттердің анықталмағаны айтылды. Polymarket зардап шеккен есептердің жалпы саны немесе зақымдалған активтердің көлемі туралы ашық ақпарат берген жоқ, бірақ негізгі сауда протоколы мен смарт-контракттар қауіпсіз екенін атап өтті.
Платформа өз Ethereum Layer 2 желісі POLY-ге көшуге және үшінші тарап кіру қызметін тоқтатып, осындай тәуелділіктерді жоюға ниет білдіреді. Зардап шеккен пайдаланушыларға қалпына келтіру опцияларымен тікелей хабарлама жолданады, дегенмен Polymarket шығындарға өтемақы төлеуге кепілдік берген жоқ.
Сала мамандары бұл оқиғаны маңызды аутентификация механизмдерін сыртқы қызметтерге тапсырудың қауіптері туралы ескерту ретінде қабылдайды. Web3 жобалары пайдаланушыларды тіркеу үшін сыртқы SDK-ларға тәуелді бола түскен сайын, жүйелі осалдықтарды болдырмау үшін қатты қауіпсіздік аудиттері және балама бақылау шаралары маңызды екенін атап өтеді.
– CryptoReporter.
Пікірлер (0)