Ngày 24 tháng 12 năm 2025 – Polymarket, một nền tảng thị trường dự đoán phi tập trung, xác nhận rằng một lỗ hổng bảo mật trong một nhà cung cấp xác thực bên thứ ba đã dẫn đến truy cập trái phép và chuyển khoản quỹ từ các tài khoản người dùng. Việc vi phạm an ninh chủ yếu ảnh hưởng đến những người dùng đăng ký thông qua Magic Labs, một dịch vụ cho phép tạo ví dựa trên email chỉ bằng một cú nhấp chuột cho các tài khoản Ethereum.
Nhiều người dùng báo cáo bị rút ròng số dư đột ngột bất kể đã bật xác thực hai yếu tố trên các tài khoản email của họ. Phân tích các giao dịch trên chuỗi cho thấy kẻ tấn công đã lợi dụng lỗ hổng xác thực để vượt qua các kiểm soát đăng nhập, thực hiện các lệnh gọi hợp đồng thông minh chuyển Ether và các token ERC-20 tới các địa chỉ do kẻ tấn công kiểm soát.
Đội ngũ kỹ thuật của Polymarket đã xác định nguyên nhân gốc rễ trong lớp tích hợp Magic Labs và triển khai bản vá vào ngày 23 tháng 12. Trong một thông báo chính thức trên Discord, công ty cho biết lỗ hổng đã được kiểm soát và không có sự cố nào khác được phát hiện. Polymarket không tiết lộ tổng số tài khoản bị ảnh hưởng hay khối lượng tài sản bị xâm phạm nhưng nhấn mạnh rằng giao thức giao dịch cốt lõi và các hợp đồng thông minh vẫn an toàn.
Nền tảng có kế hoạch chuyển sang mạng Ethereum Layer 2 riêng của mình, POLY, và ngừng cung cấp dịch vụ đăng nhập của bên thứ ba để loại bỏ những phụ thuộc tương tự. Người dùng bị ảnh hưởng sẽ nhận được thông báo trực tiếp nêu rõ các lựa chọn khôi phục, mặc dù Polymarket chưa cam kết bồi thường cho các khoản tổn thất.
Các chuyên gia trong ngành nhấn mạnh sự cố này như một bài học cảnh tỉnh về rủi ro khi outsourcing các cơ chế xác thực quan trọng. Khi các dự án Web3 ngày càng phụ thuộc vào các SDK bên ngoài để onboarding người dùng, các cuộc kiểm tra bảo mật nghiêm ngặt và các biện pháp dự phòng là cần thiết để ngăn ngừa các lỗ hổng hệ thống.
– CryptoReporter.
Bình luận (0)