24 Disember 2025 β Polymarket, sebuah platform pasaran ramalan berdesentralisasi, mengesahkan bahawa satu kerentanan keselamatan dalam penyedia autentikasi pihak ketiga telah membolehkan akses tanpa kebenaran dan pemindahan dana daripada akaun pengguna. Kebocoran itu terutamanya menjejaskan pengguna yang didaftarkan melalui Magic Labs, perkhidmatan yang menyediakan penciptaan dompet berasaskan e-mel dalam satu klik untuk akaun Ethereum.
Beberapa pengguna melaporkan baki hilang secara mendadak walaupun telah mengaktifkan pengesahan dua faktor pada akaun e-mel mereka. Analisis transaksi pada rantai blok mendedahkan bahawa penyerang memanfaatkan kerentanan autentikasi itu untuk mengelak kawalan log masuk, melaksanakan panggilan kontrak pintar yang memindahkan Ether dan token ERC-20 ke alamat yang dikawal penyerang.
Pasukan kejuruteraan Polymarket mengenal pasti punca utama dalam lapisan integrasi Magic Labs dan telah melaksanakan tambalan pada 23 Disember. Dalam pengumuman rasmi di Discord, syarikat itu menyatakan bahawa kerentanan itu telah dikendalikan dan tiada kejadian lanjut telah dikesan. Polymarket tidak mendedahkan jumlah akaun yang terjejas secara keseluruhan atau jumlah aset yang terkompromi tetapi menekankan bahawa protokol dagangan teras dan kontrak pintar kekal selamat.
Platform itu merancang untuk beralih ke rangkaian Ethereum Layer 2 miliknya sendiri, POLY, dan menamatkan perkhidmatan log masuk pihak ketiga untuk menghapuskan kebergantungan serupa. Pengguna yang terjejas akan menerima komunikasi langsung yang menerangkan pilihan pemulihan, walaupun Polymarket tidak berkomitmen untuk memberi pampasan atas kerugian.
Pakar industri menekankan kejadian itu sebagai amaran mengenai risiko mengoutsource mekanisme pengesahan yang kritikal. Seiring projek Web3 yang semakin bergantung kepada SDK luaran untuk onboarding pengguna, audit keselamatan yang ketat dan kawalan sandaran adalah penting untuk mencegah kerentanan sistemik.
β CryptoReporter.
Komen (0)