Dec 24, 2025 – Polymarket, een gedecentraliseerd voorspellingsmarktplaats, bevestigde dat een beveiligingslek in een authenticatieprovider van een derde partij leidde tot ongeautoriseerde toegang en fondsenoverboekingen van gebruikersaccounts. De inbreuk trof voornamelijk gebruikers die zich via Magic Labs hadden geregistreerd, een dienst die met één klik e-mailgebaseerde portemonneecreatie voor Ethereum-accounts biedt.

Meerdere gebruikers meldden plotselinge saldaverliezen ondanks dat ze tweefactorauthenticatie op hun e-mailaccounts hadden ingeschakeld. Analyse van on-chain transacties toonde aan dat aanvallers misbruik maakten van de authenticatiefout om logincontroles te omzeilen, waardoor aanroepen van smart contracts werden uitgevoerd die Ether en ERC-20-tokens naar adressen onder controle van de aanvaller verplaatsten.

Het engineeringteam van Polymarket identificeerde de hoofdoorzaak in de integratielaag van Magic Labs en implementeerde een patch op 23 december. In een officiële Discord-aankondiging verklaarde het bedrijf dat de kwetsbaarheid was afgebakend en dat er geen verdere incidenten waren gedetecteerd. Polymarket maakte geen melding van het totale aantal getroffen accounts of de omvang van de aangetaste activa, maar benadrukte dat het kernhandelsprotocol en de slimme contracten veilig blijven.

Het platform is van plan om over te stappen op zijn eigen Ethereum Layer 2-netwerk, POLY, en de loginservice van derden af te schaffen om soortgelijke afhankelijkheden te voorkomen. Getroffen gebruikers ontvangen rechtstreeks bericht met herstelopties, hoewel Polymarket geen toezegging deed tot compensatie van verlies.

Industrie-experts benadrukken het incident als een waarschuwing voor de risico's van het uitbesteden van kritieke authenticatiemechanismen. Aangezien Web3-projecten in toenemende mate afhankelijk worden van externe SDK's voor onboarding van gebruikers, zijn grondige beveiligingsaudits en fallback-controles essentieel om systemische kwetsbaarheden te voorkomen.

– CryptoReporter.