24. decembra 2025 – Polymarket, decentralizovana platforma za tržište predviđanja, potvrdila je da je bezbednosna ranjivost kod provajdera autentifikacije treće strane dovela do neovlašćenog pristupa i prenosa sredstava sa korisničkih naloga. Proboj je prvenstveno pogodio korisnike koji su se registrovali preko Magic Labs, usluge koja omogućava kreiranje novčanika jednim klikom na osnovu email adrese za Ethereum naloge.
Više korisnika prijavilo je nagli nestanak sredstava uprkos tome što su imali omogućenu dvofaktorsku autentifikaciju na svojim email nalozima. Analiza transakcija na lancu blokova otkrila je da su napadači iskoristili problem sa autentifikacijom da zaobiđu kontrole prijave, izvršavajući pozive pametnih ugovora koji su prebacivali Ether i ERC-20 tokene na adrese koje su u vlasništvu napadača.
Inženjerski tim Polymarketa identifikovao je uzrok u sloju integracije Magic Labs i implementirao zakrpu 23. decembra. U zvaničnom saopštenju na Discord-u, kompanija je navela da je ranjivost otklonjena i da nisu zabeleženi dalji incidenti. Polymarket nije objavio ukupan broj pogođenih naloga niti obim kompromitovane imovine, ali je naglasio da su osnovni trgovački protokol i pametni ugovori sigurni.
Platforma planira prelazak na sopstvenu Ethereum Layer 2 mrežu, POLY, i povlačenje usluge prijavljivanja treće strane kako bi se eliminisale slične zavisnosti. Pogođeni korisnici će dobiti direktnu komunikaciju koja opisuje opcije oporavka, iako Polymarket nije dao obavezu da nadoknadi gubitke.
Industrijski stručnjaci ističu ovaj incident kao opomenu o rizicima oslanjanja na spoljašnje mehanizme autentifikacije. Kako Web3 projekti sve više koriste spoljašnje SDK-ove za onboarding korisnika, rigorozne sigurnosne provere i rezervni kontrolni mehanizmi su od suštinskog značaja da bi se sprečile sistemske ranjivosti.
– CryptoReporter.
Коментари (0)