24 decembrie 2025 – Polymarket, o platformă descentralizată de piețe de predicție, a confirmat că o vulnerabilitate de securitate la un furnizor terț de autentificare a dus la acces neautorizat și transferuri de fonduri din conturile utilizatorilor. Breșa a afectat în principal utilizatorii înregistrați prin Magic Labs, un serviciu care oferă crearea portofelelor pe bază de e-mail cu un singur clic pentru conturile Ethereum.
Mai mulți utilizatori au raportat scurgeri bruște de sold, în ciuda faptului că au activat autentificarea cu doifactori pentru conturile lor de e-mail. Analiza tranzacțiilor pe lanț a relevat că atacatorii au profitat de această breșă de autentificare pentru a ocoli controalele de autentificare, executând apeluri de contracte inteligente care au mutat Ether și tokenuri ERC-20 către adrese controlate de atacatori.
Echipa de inginerie a Polymarket a identificat cauza rădăcină în stratul de integrare Magic Labs și a lansat un patch pe 23 decembrie. Într-un anunț oficial pe Discord, compania a declarat că vulnerabilitatea a fost limitată și nu au fost detectate alte incidente. Polymarket nu a dezvăluit numărul total de conturi afectate sau volumul de active compromise, dar a subliniat că protocolul central de tranzacționare și contractele inteligente rămân securizate.
Platforma intenționează să migreze către propria sa rețea Ethereum Layer 2, POLY, și să renunțe la serviciul de autentificare al terților pentru a elimina dependențe similare. Utilizatorii afectați vor primi o comunicare directă care să descrie opțiunile de recuperare, deși Polymarket nu s-a angajat încă să compenseze pierderile.
Experții din industrie subliniază incidentul ca un avertisment cu privire la riscurile outsourcing-ului mecanismelor critice de autentificare. Pe măsură ce proiectele Web3 se bazează din ce în ce mai mult pe SDK-uri externe pentru onboarding-ul utilizatorilor, audituri de securitate riguroase și măsuri de fallback sunt esențiale pentru a preveni vulnerabilități sistemice.
– CryptoReporter.
Comentarii (0)