24 Dicèmmiru 2025 – Polymarket, na piattaforma decentralizzata di mercatu di predizzioni, cunfirma ca na vulnerabilità di sigurezza nta na fornitura di autenticazzioni di na parti terza purtau accessu nun autorizzatu e trasferimenti di fondi di l’account di l’utenti. L’incidentu affettau principali l’utenti ca si registrà ru attraversu Magic Labs, un serviziu ca offrìa criari na wallet basata supra na email cu un clic pi l’account Ethereum.
Diversi utenti riportaru ca si truvà ru bilanci ca sparìunu malgradu aviri attivatu l’autenticazzioni a dui fatturi supra li email. L’analisi di transazzioni ntâ catina ha rivelatu ca l’attaccanti sfruttaru la falla di autenticazzioni pi bypassari i controlli di login, esegguendo chiamati di contratti intelligenti ca movìanu Ether e token ERC-20 a indirizzi controllati di l’attaccanti.
Lu gruppu di ingegnerìa di Polymarket identificau la causa radici ntâ strata di integrazione di Magic Labs e appostu na patch lu 23 Dicèmmiru. Ntâ dichiarazzioni ufficiali supra Discord, la cumpagnia espremma ca la vulnerabilità era stata cuntrullata e ca nun si sunnu ricunnisciuti autri incidenti. Polymarket nun rivelau lu nùmmiru tutali di l’account affettati né lu voluminu di asset compromessi ma insistì ca lu core di trading e i contratti intelligenti restanu sicuri.
La piattaforma pruggetta di migrare a la propria Ethereum Layer 2 reta, POLY, e ritirari lu servizziu di login di na parti terza pi eliminari tali dipinnenzi. L’utenti affettati riceveranu na cumunicazzioni diretta ca spiega li opzioni di recuperu, siddu Polymarket nun si impegnau a prumèttiri risarcimenti pi li perduti.
Esperti di l’industria sottulinenanu ca l’incident è na lezzzioni ca avvirtìa supra li rischi di outsourcing di meccanismi di autenticazzioni critic. Comu li progetti Web3 si rifà cianu a SDK esterni pi l’onboarding di l’utenti, è essenziali ca si facìanu auditi di sicurezza rigurusi e cuntròli di fallback pi preveniri vulnerabilità sistèmmichi.
– CryptoReporter.
Cummenti (0)