24. decembra 2025 – Polymarket, decentralizirana platforma trga napovedi, je potrdil, da je varnostna ranljivost pri zunanjem ponudniku avtentikacije povzročila nepooblaščen dostop in prenos sredstev z uporabniških računov. Vdor je večinoma prizadel uporabnike, ki so se registrirali prek Magic Labs, storitve, ki omogoča ustvarjanje denarnice na podlagi e-pošte z enim klikom za račune Ethereum.
Več uporabnikov je poročalo o nenadnem izpraznjenju sredstev kljub temu, da so na svojih e-poštnih računih omogočili dvofaktorsko avtentikacijo. Analiza transakcij v verigi je razkrila, da so napadalci izkoristili ranljivost avtentikacije, da bi se izognili kontrolam prijave, in izvedli klice pametnih pogodben, ki so premaknili Ether in tokene ERC-20 na naslove, ki jih nadzorujejo napadalci.
Polymarketova inženirska ekipa je v integracijski plasti Magic Labs odkrila glavni vzrok in 23. decembra uvedla popravilo. V uradni objavi na Discordu je podjetje navedlo, da je ranljivost zajezena in da niso zaznani nadaljnji incidenti. Polymarket ni razkril skupnega števila prizadetih računov ali obsega kompromitiranih sredstev, vendar je poudaril, da osnovni trgovalni protokol in pametne pogodbe ostajajo varni.
Platforma načrtuje migracijo na lastno omrežje Ethereum Layer 2, POLY, ter ukinitev zunanje prijavne storitve, da bi odpravili podobne odvisnosti. Prizadetim uporabnikom bodo poslana neposredna navodila z možnostmi obnove, čeprav Polymarket ni zagotovil odškodnin za izgube.
Strokovnjaki iz industrije ta incident vidijo kot opozorilo o tveganjih outsourcanja ključnih avtentikacijskih mehanizmov. Ker projekti Web3 vse bolj uporabljajo zunanje SDK-je za vključevanje uporabnikov, sta stroge varnostne revizije in ustrezni nadzorni mehanizmi ključnega pomena za preprečevanje sistemskih ranljivosti.
– CryptoReporter.
Komentarji (0)