24 grudnia 2025 r. – Polymarket, zdecentralizowana platforma rynku prognostycznego, potwierdził, że luka w zabezpieczeniach u zewnętrznego dostawcy uwierzytelniania doprowadziła do nieautoryzowanego dostępu i transferów środków z kont użytkowników. Naruszenie dotknęło przede wszystkim użytkowników zarejestrowanych za pośrednictwem Magic Labs, usługi umożliwiającej tworzenie portfela Ethereum jednym kliknięciem na podstawie adresu e-mail.
Wielu użytkowników zgłosiło nagłe opróżnianie sald, mimo że włączono dwuetapowe uwierzytelnianie na ich kontach e-mail. Analiza transakcji na łańcuchu wykazała, że atakujący wykorzystali tę lukę w uwierzytelnianiu, aby obejść kontrole logowania, wykonując wywołania kontraktów inteligentnych, które przenosiły Ether i tokeny ERC-20 na adresy kontrolowane przez napastników.
Zespół inżynieryjny Polymarket zidentyfikował przyczynę w warstwie integracyjnej Magic Labs i wdrożył łatkę 23 grudnia. W oficjalnym ogłoszeniu na Discordzie firma stwierdziła, że luka została opanowana i nie odnotowano dalszych incydentów. Polymarket nie ujawnił całkowitej liczby dotkniętych kont ani wartości skompromitowanych aktywów, lecz podkreślił, że rdzeń protokołu handlowego i kontrakty smart pozostają bezpieczne.
Platforma planuje migrację na własną sieć Ethereum Layer 2, POLY, oraz wycofanie usługi logowania z zewnętrznego dostawcy, aby wyeliminować podobne zależności. Dotknięci użytkownicy otrzymają bezpośrednie powiadomienie z opcjami odzyskania, chociaż Polymarket nie zobowiązał się do wypłaty odszkodowań za straty.
Eksperci branżowi wskazują ten incydent jako ostrzeżenie przed ryzykiem outsourcingu kluczowych mechanizmów uwierzytelniania. W miarę jak projekty Web3 coraz częściej polegają na zewnętrznych SDK-ach do onboardingu użytkowników, niezbędne są rygorystyczne audyty bezpieczeństwa i mechanizmy awaryjne, aby zapobiegać podatnościom systemowym.
– CryptoReporter.
Komentarze (0)