Une plateforme de marché prédictif décentralisée, Polymarket, a confirmé le 25 décembre que les fonds de certains utilisateurs avaient été dérobés et que leurs soldes avaient été entièrement vidés en raison d’une faille de sécurité chez un prestataire tiers d’authentification. Les utilisateurs concernés s’étaient principalement inscrits via Magic Labs, un service permettant de se connecter avec une adresse e-mail et de générer automatiquement un portefeuille Ethereum non custodial.
Cette vulnérabilité a permis de contourner les mesures de sécurité habituelles, telles que l’authentification à deux facteurs, suscitant une vive inquiétude sur le marché quant à la sécurité des intégrations tierces sur les plateformes crypto.
01 Aperçu de l’incident : risques d’actifs révélés par des vulnérabilités tierces
Le vol d’actifs subi par les utilisateurs de Polymarket ne provient pas d’une faille dans les contrats intelligents centraux de la plateforme. Il résulte d’une faille de sécurité chez un fournisseur d’authentification tiers sur lequel la plateforme s’appuie.
Sur son canal Discord officiel, la plateforme a indiqué : « Nous avons récemment identifié et corrigé un problème de sécurité touchant un petit nombre d’utilisateurs, causé par une vulnérabilité chez un prestataire d’authentification tiers. »
Bien que la plateforme affirme que le problème a été résolu et qu’il n’existe plus de risque en cours, le nombre exact d’utilisateurs affectés et le montant total dérobé n’ont pas été communiqués. Ce manque d’information alimente une inquiétude généralisée au sein de la communauté quant à l’ampleur et à la gravité réelles de l’incident.
02 Déroulement de l’attaque : reconstitution de cas utilisateurs types
D’après les témoignages publiés sur les réseaux sociaux, cet incident de sécurité présente des schémas récurrents.
Un utilisateur de Reddit a partagé son expérience : « Ce matin, j’ai reçu trois notifications concernant des tentatives de connexion à Polymarket — mon appareil n’a pas été compromis, Google n’a détecté aucune activité suspecte, et tous mes autres services fonctionnent normalement. »
Cependant, en se connectant à Polymarket, il a constaté que toutes ses positions avaient été clôturées et que son solde n’était plus que de 0,01 $. Cela signifiait que son portefeuille avait été quasiment vidé.
Un autre utilisateur a rapporté une expérience similaire. Bien qu’il n’ait cliqué sur aucun lien suspect et qu’il ait activé l’authentification à deux facteurs sur son adresse e-mail, il n’a pas pu empêcher les attaquants de vider son compte après avoir reçu trois notifications de tentative de connexion.
03 Utilisateurs concernés : les inscrits via Magic Labs ciblés
Les victimes de cet incident de sécurité partagent un point commun : la plupart s’étaient inscrites sur Polymarket via Magic Labs.
Magic Labs est un service de connexion tiers conçu pour les nouveaux venus dans l’univers crypto. Il permet de se connecter simplement avec une adresse e-mail, le système générant automatiquement un portefeuille Ethereum non custodial en arrière-plan. Si cette conception réduit considérablement la barrière à l’entrée, elle introduit également de nouveaux vecteurs d’attaque.
Les attaquants semblent avoir trouvé le moyen de contourner l’authentification multifacteur, sans recourir aux techniques classiques de phishing ou de logiciels malveillants pour compromettre les appareils des utilisateurs. Cette situation soulève de sérieuses préoccupations quant au risque que les services d’authentification tiers deviennent des points de défaillance uniques.
04 Réaction de la plateforme : un manque de transparence qui alimente le doute
La réaction de Polymarket à cet incident a clairement montré une tendance à la rétention d’information, ce qui a suscité plus de questions que de réponses.
Premièrement, la plateforme s’est contentée d’indiquer qu’un « petit nombre d’utilisateurs » avait été touché, sans fournir de chiffres ou de pourcentages précis. Deuxièmement, elle n’a pas communiqué le montant total volé, rendant impossible pour la communauté d’évaluer la gravité de l’événement. Troisièmement, Polymarket n’a pas explicitement nommé le prestataire tiers impliqué, bien que la communauté soupçonne largement Magic Labs.
Sur le plan technique, Polymarket a affirmé que le problème était « résolu » sans détailler les correctifs mis en œuvre.
Certains membres de la communauté ont noté qu’après l’incident, Polymarket semblait avoir allongé la longueur du mot de passe à usage unique, passant de trois à six chiffres, mais l’entreprise n’a pas commenté publiquement ce changement.
05 Enseignements en matière de sécurité : risques systémiques liés aux intégrations tierces
Ce n’est pas la première fois que Polymarket est confrontée à un incident de sécurité lié à des services tiers. En septembre 2024, plusieurs utilisateurs connectés via leur compte Google avaient signalé le transfert de leurs fonds USDC vers des adresses de phishing.
Le mois dernier, une campagne de phishing exploitant la section commentaires de la plateforme avait entraîné des pertes supérieures à 500 000 $. Ces incidents illustrent un défi récurrent pour les plateformes crypto : même si les contrats intelligents centraux sont sécurisés, la dépendance à des services tiers peut toujours introduire des vulnérabilités.
Des analystes du secteur soulignent que lorsque les utilisateurs dépendent d’infrastructures d’authentification unifiées qui ne sont pas directement contrôlées par la plateforme, les systèmes intégrés deviennent particulièrement exposés aux attaques.
06 Recommandations aux utilisateurs : bonnes pratiques pour la protection des actifs
Pour les utilisateurs de crypto-actifs, l’incident Polymarket apporte des enseignements importants en matière de sécurité.
Le conseil le plus direct consiste à éviter d’utiliser les options de connexion via des services tiers et à privilégier la connexion à partir de portefeuilles dont vous contrôlez les clés privées. Bien que cela complique l’accès, cette méthode reste la plus sûre pour protéger ses actifs tant que les plateformes n’ont pas démontré leur capacité à intégrer des services tiers en toute sécurité.
Les utilisateurs doivent examiner régulièrement l’activité de leur compte, activer toutes les fonctions de sécurité disponibles et rester vigilants face à toute tentative de connexion inhabituelle. Répartir ses actifs sur plusieurs plateformes, plutôt que de tout concentrer au même endroit, constitue également une stratégie pertinente de gestion des risques.
Alors que Polymarket prévoit de migrer de Polygon et de lancer son propre réseau Ethereum de seconde couche, il est recommandé aux utilisateurs de redoubler de vigilance quant à la sécurité de leurs actifs pendant cette transition.
Perspectives
Au 25 décembre, le volume total des transactions sur Polymarket atteignait 1,538 milliard de dollars, avec 419 309 utilisateurs actifs mensuels. Lorsqu’un utilisateur découvre qu’il ne lui reste plus que 0,01 $ sur son compte, l’incident ne relève plus d’un simple problème technique : il met à l’épreuve l’architecture de sécurité de l’ensemble de l’écosystème crypto.
La sécurité des fonds des utilisateurs demeure la pierre angulaire des opérations de Gate. Face à des défis de sécurité de plus en plus complexes, Gate poursuit le renforcement de son infrastructure et propose à ses utilisateurs plusieurs niveaux de protection de leurs actifs.
