Dec 24, 2025 â Polymarket, en decentraliserad förutsĂ€gelsemarknadsplattform, bekrĂ€ftade att en sĂ€kerhetsbrist i en tredje parts autentiseringstjĂ€nst ledde till obehörig Ă„tkomst och överföringar av medel frĂ„n anvĂ€ndarkonton. IntrĂ„nget drabbade frĂ€mst anvĂ€ndare som registrerat sig via Magic Labs, en tjĂ€nst som erbjuder ett-klicks-e-postbaserad plĂ„nboksskapande för Ethereum-konton.
Flera anvÀndare rapporterade plötsliga saldoutarmningar trots att de hade aktiverat tvÄfaktorsautentisering pÄ sina e-postkonton. Analys av on-chain-transaktioner visade att angripare utnyttjade autentiseringsfelet för att kringgÄ inloggningskontrollerna och genomföra smartkontraktsanrop som flyttade Ether och ERC-20-tokens till angriparens kontrollerade adresser.
Polymarkets ingenjörsteam identifierade grundorsaken i Magic Labs integrationslager och rullade ut en patch den 23 december. I ett officiellt Discord-meddelande uppgav företaget att sÄrbarheten var begrÀnsad och att inga ytterligare incidenter har upptÀckts. Polymarket uppgav inte det totala antalet drabbade konton eller volymen av tillgÄngar som komprometterats, men betonade att kÀrnprotokollet för handel och smarta kontrakt förblir sÀkra.
Plattformen planerar att migrera till sitt eget Ethereum Layer 2-nÀtverk, POLY, och avveckla den tredje parts inloggningsservice för att eliminera liknande beroenden. Berörda anvÀndare kommer att fÄ direkt kommunikation som beskriver ÄterhÀmtningsalternativ, Àven om Polymarket inte har Ätagit sig kompensation för förluster.
Branschexperter lyfter hÀndelsen som en varningssaga om riskerna med att outsourca kritiska autentiseringsmekanismer. Eftersom Web3-projekt i allt högre grad förlitar sig pÄ externa SDK:er för anvÀndarorientering, Àr rigorösa sÀkerhetsrevisioner och fallback-kontroller avgörande för att förhindra systemiska sÄrbarheter.
â CryptoReporter.
Kommentarer (0)