24 декабря 2025 г. — Polymarket, децентрализованная платформа рынков предсказаний, подтвердила, что уязвимость в стороннем поставщике аутентификации привела к несанкционированному доступу и переводам средств со счетов пользователей. Утечка в первую очередь затронула пользователей, зарегистрировавшихся через Magic Labs, сервис, предоставляющий создание кошельков для аккаунтов Ethereum одним кликом по электронной почте.
Несколько пользователей сообщили о резком снятии средств со счетов, несмотря на включённую двухфакторную аутентификацию их учётных записей электронной почты. Анализ транзакций в сети показал, что злоумышленники использовали уязвимость аутентификации для обхода механизмов входа, выполняя вызовы смарт-контрактов, которые перемещали эфир и токены ERC-20 на адреса, контролируемые злоумышленниками.
Команда инженеров Polymarket выявила первопричину во интеграционном слое Magic Labs и выпустила патч 23 декабря. В официальном объявлении на Discord компания заявила, что уязвимость локализована и дальнейших инцидентов не зафиксировано. Polymarket не раскрыл общее число пострадавших аккаунтов или объем украденных активов, но подчеркнул, что основной торговый протокол и смарт-контракты остаются защищёнными.
Платформа планирует перейти на собственную сеть Ethereum Layer 2, POLY, и прекратить использование стороннего сервиса входа, чтобы устранить подобные зависимости. Пострадавшим пользователям будет направлено прямое сообщение с вариантами восстановления, хотя Polymarket не дал обязательство по компенсации убытков.
Эксперты отрасли называют этот инцидент предупреждением об рисках передачи критически важных механизмов аутентификации на аутсорсинг. По мере того как проекты Web3 всё чаще полагаются на внешние SDK для регистрации пользователей, крайне важны строгие аудиты безопасности и резервные меры контроля, чтобы предотвратить системные уязвимости.
– CryptoReporter.
Комментарии (0)