Децентрализованная платформа для прогнозирования Polymarket подтвердила 25 декабря, что у некоторых пользователей были украдены средства и их балансы обнулены из-за уязвимости в стороннем сервисе аутентификации. Пострадавшие пользователи в основном регистрировались через Magic Labs — сервис, позволяющий входить по электронной почте и автоматически создавать некостодиальный Ethereum-кошелек.
Эта уязвимость позволила обойти стандартные меры безопасности, такие как двухфакторная аутентификация, что вызвало широкое беспокойство на рынке относительно надежности сторонних интеграций на криптоплатформах.
01 Обзор инцидента: риски для активов из-за уязвимостей сторонних сервисов
Кража активов у пользователей Polymarket произошла не из-за уязвимости в основных смарт-контрактах платформы. Причиной стала ошибка безопасности в стороннем сервисе аутентификации, на который платформа опирается.
В официальном Discord-канале платформа сообщила: «Недавно мы обнаружили и устранили проблему безопасности, затронувшую небольшое число пользователей. Она была вызвана уязвимостью стороннего сервиса аутентификации».
Хотя представители платформы утверждают, что проблема решена и дальнейших рисков нет, точное число пострадавших и сумма ущерба не раскрываются. Недостаток информации вызвал в сообществе обеспокоенность масштабом и серьезностью инцидента.
02 Ход атаки: типичные случаи пользователей
Судя по сообщениям пользователей в социальных сетях, инцидент имел характерные признаки.
Один из пользователей Reddit подробно описал свою ситуацию: «Я проснулся утром и увидел три уведомления о попытках входа на Polymarket — мое устройство не было скомпрометировано, Google не обнаружил подозрительной активности, остальные сервисы работают нормально».
Однако после входа на Polymarket он обнаружил, что все сделки закрыты, а на балансе осталось всего $0,01. Это означало, что его кошелек практически полностью опустошили.
Другой пользователь сообщил о похожем случае. Несмотря на то, что он не переходил по подозрительным ссылкам и включил двухфакторную аутентификацию на электронной почте, ему не удалось предотвратить вывод средств после получения трех уведомлений о попытке входа.
03 Пострадавшие пользователи: цель — регистранты Magic Labs
Пострадавшие в этом инциденте пользователи объединяет общий признак: большинство регистрировали аккаунты Polymarket через Magic Labs.
Magic Labs — сторонний сервис входа, предназначенный для новичков в криптовалютах. Он позволяет авторизоваться только по электронной почте, а система автоматически создает некостодиальный Ethereum-кошелек. Такой подход снижает барьер для входа в криптоиндустрию, но открывает новые возможности для атак.
Злоумышленники, судя по всему, научились обходить многофакторную аутентификацию, не прибегая к классическим фишинговым схемам или вредоносному ПО для заражения устройств. Это вызывает серьезные опасения, что сторонние сервисы аутентификации могут стать единой точкой отказа.
04 Реакция платформы: недостаток прозрачности порождает сомнения
Ответ Polymarket на инцидент показал явную склонность скрывать детали, что вызвало еще больше вопросов.
Во-первых, платформа расплывчато заявила, что пострадало лишь «небольшое число пользователей», не указав конкретных цифр или процентов. Во-вторых, не раскрыта общая сумма ущерба, что мешает сообществу оценить масштаб события. В-третьих, Polymarket не назвала напрямую стороннего провайдера, хотя большинство участников сообщества подозревают Magic Labs.
С технической стороны Polymarket заявила, что проблема «решена», но не уточнила, какие именно меры были приняты.
Некоторые участники сообщества отметили, что после инцидента платформа увеличила длину одноразового пароля с трех до шести знаков, однако официальных комментариев по этому поводу не последовало.
05 Уроки безопасности: системные риски сторонних интеграций
Это не первый случай, когда Polymarket сталкивается с проблемами безопасности из-за сторонних сервисов. В сентябре 2024 года несколько пользователей, входивших через Google-аккаунты, сообщили о переводе своих USDC на фишинговые адреса.
В прошлом месяце фишинговая кампания через раздел комментариев платформы привела к потерям пользователей на сумму более $500 000. Подобные случаи иллюстрируют типичную проблему для криптоплатформ: даже если основные смарт-контракты надежны, зависимость от сторонних сервисов все равно создает уязвимости.
Аналитики отрасли отмечают, что при использовании единой инфраструктуры аутентификации, не контролируемой непосредственно платформой, интегрированные системы становятся особенно уязвимыми для атак.
06 Действия пользователей: практические советы по защите активов
Для пользователей криптовалют инцидент с Polymarket — важный урок по безопасности.
Самый прямой совет — отказаться от сторонних способов входа и подключаться к платформам через кошельки, где приватные ключи находятся под вашим контролем. Хотя это усложняет процесс регистрации, такой подход остается самым надежным способом защиты активов, пока платформы не докажут безопасность сторонних интеграций.
Пользователям рекомендуется регулярно проверять активность в аккаунте, включать все доступные функции безопасности и быть внимательными к необычным попыткам входа. Разумно распределять активы между несколькими платформами, а не концентрировать средства в одном месте.
В связи с планами Polymarket по переходу с Polygon и запуску собственной сети Ethereum Layer 2 пользователям стоит уделить особое внимание безопасности активов в период миграции.
Взгляд в будущее
На 25 декабря общий торговый объем Polymarket достиг $1 538 000 000, а число активных пользователей за месяц составило 419 309. Когда пользователи обнаруживают на счету лишь $0,01, это уже не просто технический сбой — это серьезная проверка всей архитектуры безопасности криптоэкосистемы.
Безопасность средств пользователей остается фундаментом работы платформы Gate. В условиях усложняющихся вызовов для отрасли Gate продолжает усиливать инфраструктуру безопасности и предоставляет пользователям многоуровневую защиту активов.
