Polymarket Предупреждение о безопасности: как уязвимость сторонней аутентификации может очистить кошельки пользователей

Децентрализованная платформа предсказаний Polymarket 25 декабря подтвердила, что из-за уязвимости в системе стороннего сервиса аутентификации часть пользовательских средств была украдена, а баланс аккаунтов очищен. Пострадавшие пользователи в основном регистрировались через Magic Labs — сервис, позволяющий входить по электронной почте и автоматически создавать некастодиальные кошельки Ethereum.

Эта уязвимость обошла стандартные меры безопасности, такие как двухфакторная аутентификация, что вызвало широкий общественный интерес к безопасности сторонних интеграций на криптовалютных платформах.

01 Обзор инцидента: риски активов из-за уязвимости сторонних сервисов

Кража активов у пользователей Polymarket произошла не из-за уязвимости в основном смарт-контракте платформы, а вследствие уязвимости в стороннем сервисе аутентификации, на который она полагалась.

На официальном Discord-канале платформа заявила: «Недавно мы обнаружили и устранили проблему безопасности, которая затронула небольшое число пользователей, вызванную уязвимостью стороннего поставщика аутентификации.»

Несмотря на то, что платформа утверждает, что проблема устранена и риск для пользователей отсутствует, конкретное число пострадавших и сумма ущерба не раскрываются, что вызывает тревогу в сообществе относительно масштабов и серьезности инцидента.

02 Процесс атаки: восстановление типичных случаев жертв

Согласно сообщениям пользователей в соцсетях, инцидент имел ярко выраженные признаки.

Один из пользователей Reddit подробно описал свой опыт: «Сегодня утром я получил три уведомления о попытках входа в Polymarket — мои устройства не были взломаны, Google не обнаружил подозрительной активности, все остальные сервисы работают нормально.»

Однако при входе в Polymarket он обнаружил, что все сделки были закрыты, а баланс аккаунта остался всего 0.01 доллара, что означает почти полное очищение кошелька.

Другой пользователь сообщил о похожем случае: несмотря на то, что он не переходил по подозрительным ссылкам и включил двухфакторную аутентификацию по электронной почте, злоумышленники после трех попыток входа очистили его средства.

03 Пострадавшие: пользователи Magic Labs стали основной целью

Общие черты пострадавших — большинство из них регистрировались в Polymarket через сервис Magic Labs.

Magic Labs — сторонний сервис входа, предназначенный для новичков в криптовалюте, позволяющий входить по электронной почте, а система автоматически создает некастодиальный кошелек Ethereum. Такой дизайн значительно снижает порог входа в криптомир, но одновременно создает новые уязвимости.

Злоумышленники, судя по всему, нашли способ обхода многофакторных механизмов защиты, не прибегая к классической фишинговой атаке или вредоносному ПО на устройствах пользователей. Это вызывает серьезные опасения по поводу возможной уязвимости сторонних сервисов аутентификации как точки отказа.

04 Реакция платформы: неясная информация вызывает дополнительные сомнения

В ответ на инцидент Polymarket проявила явную тенденцию к сдерживанию информации, что породило больше вопросов, чем ответов.

Во-первых, платформа лишь размыто указала, что «небольшое число пользователей» пострадало, не предоставив конкретных цифр или доли. Во-вторых, не опубликована общая сумма украденных средств, что мешает сообществу оценить масштаб и серьезность ситуации. В-третьих, Polymarket не уточнила, какой именно сторонний сервис использовался, хотя в сообществе широко предполагают, что речь идет о Magic Labs.

Что касается технических деталей, платформа заявила, что проблема «уже решена», но не объяснила, какие конкретные меры были предприняты.

Некоторые участники сообщества отметили, что после инцидента Polymarket, похоже, увеличила длину пароля с трехзначной до шестизначной, однако компания не дала официальных комментариев по этому поводу.

05 Уроки безопасности: системные риски сторонних интеграций

Это не первый случай, когда Polymarket сталкивается с инцидентами безопасности из-за сторонних сервисов. Еще в сентябре 2024 года несколько пользователей, входивших через Google, сообщили о переводе своих USDC на фишинговые адреса.

В прошлом месяце в комментариях на платформе произошла фишинговая атака, в результате которой пострадало более 500 000 долларов. Эти случаи показывают общую проблему криптоплатформ: даже если основные смарт-контракты безопасны, зависимость от сторонних сервисов может стать слабым звеном в системе безопасности.

Аналитики отмечают, что при использовании единой системы аутентификации, не контролируемой напрямую платформой, интеграционные системы особенно уязвимы для атак.

06 Рекомендации пользователям: практические советы по защите активов

Для пользователей криптовалют инцидент с Polymarket дает важные уроки по безопасности.

Самый очевидный совет — отказаться от использования сторонних вариантов входа и подключать платформу через кошелек, управляемый личными ключами. Хотя это усложняет использование, до тех пор, пока платформа не сможет гарантировать безопасность сторонних интеграций, это лучший способ защитить свои активы.

Рекомендуется регулярно проверять активность аккаунта, включать все доступные функции безопасности и быть внимательными к любым подозрительным попыткам входа. Распределение активов и не хранение всех средств на одном сервисе также является разумной стратегией снижения рисков.

Учитывая планы Polymarket по миграции на Polygon и запуску собственного Ethereum Layer 2, пользователи должны особенно внимательно следить за безопасностью своих средств во время перехода.

Перспективы на будущее

По состоянию на 25 декабря общий торговый объем Polymarket достиг 15,38 млрд долларов, а количество активных пользователей за месяц — 419 309 человек. Когда утром пользователь обнаружил, что его баланс составляет всего 0.01 доллара, инцидент перестал быть просто технической проблемой и стал серьезным вызовом для всей системы безопасности криптовалютной экосистемы.

Безопасность пользовательских средств всегда была краеугольным камнем работы Gate. В условиях усложняющихся угроз в сфере безопасности, Gate продолжает укреплять инфраструктуру и внедрять механизмы защиты активов пользователей.