Một nền tảng thị trường dự đoán phi tập trung, Polymarket, đã xác nhận vào ngày 25 tháng 12 rằng một số người dùng đã bị đánh cắp tài sản và số dư tài khoản của họ bị xóa sạch do lỗ hổng bảo mật tại nhà cung cấp xác thực bên thứ ba. Những người dùng bị ảnh hưởng chủ yếu đăng ký qua Magic Labs, một dịch vụ cho phép đăng nhập bằng địa chỉ email và tự động tạo ví Ethereum phi lưu ký.
Lỗ hổng này đã vượt qua các biện pháp bảo mật tiêu chuẩn như xác thực hai yếu tố, gây ra làn sóng lo ngại rộng khắp trên thị trường về mức độ an toàn của các tích hợp bên thứ ba trên các nền tảng tiền mã hóa.
01 Tổng Quan Sự Việc: Rủi Ro Tài Sản Lộ Diện Từ Lỗ Hổng Bên Thứ Ba
Việc tài sản của người dùng Polymarket bị đánh cắp không xuất phát từ lỗ hổng trong hợp đồng thông minh lõi của nền tảng. Thay vào đó, nguyên nhân đến từ lỗ hổng bảo mật tại nhà cung cấp xác thực bên thứ ba mà nền tảng này sử dụng.
Trên kênh Discord chính thức, nền tảng cho biết: "Chúng tôi vừa phát hiện và khắc phục một vấn đề bảo mật ảnh hưởng đến một số lượng nhỏ người dùng, nguyên nhân là do lỗ hổng tại nhà cung cấp xác thực bên thứ ba."
Mặc dù nền tảng khẳng định đã xử lý xong sự cố và không còn rủi ro tiếp diễn, số lượng người dùng bị ảnh hưởng cùng tổng thiệt hại vẫn chưa được công bố. Việc thiếu minh bạch này đã khiến cộng đồng lo ngại về quy mô thực sự và mức độ nghiêm trọng của vụ việc.
02 Diễn Biến Tấn Công: Tái Hiện Các Tình Huống Người Dùng Điển Hình
Theo phản ánh từ người dùng trên mạng xã hội, sự cố bảo mật này có những dấu hiệu rõ ràng.
Một người dùng Reddit chia sẻ: "Sáng nay tôi nhận được ba thông báo về việc đăng nhập vào Polymarket—thiết bị của tôi không bị xâm nhập, Google không phát hiện hoạt động bất thường, và các dịch vụ khác đều ổn."
Tuy nhiên, khi đăng nhập vào Polymarket, họ phát hiện toàn bộ các giao dịch đã bị đóng và số dư tài khoản chỉ còn 0,01 USD. Điều này đồng nghĩa ví của họ gần như bị rút sạch tiền.
Một người dùng khác cũng gặp tình trạng tương tự. Dù không bấm vào bất kỳ liên kết đáng ngờ nào và đã bật xác thực hai yếu tố cho email, họ vẫn không thể ngăn kẻ tấn công rút hết tiền sau khi nhận ba thông báo đăng nhập.
03 Người Dùng Bị Ảnh Hưởng: Đối Tượng Đăng Ký Qua Magic Labs Bị Nhắm Tới
Những người dùng bị ảnh hưởng bởi sự cố bảo mật này có điểm chung: phần lớn đăng ký tài khoản Polymarket thông qua Magic Labs.
Magic Labs là dịch vụ đăng nhập bên thứ ba dành cho người mới tham gia thị trường tiền mã hóa. Dịch vụ này cho phép người dùng đăng nhập chỉ bằng email, hệ thống sẽ tự động tạo ví Ethereum phi lưu ký. Thiết kế này giúp giảm đáng kể rào cản gia nhập thị trường, nhưng đồng thời cũng mở ra các hướng tấn công mới.
Kẻ tấn công dường như đã tìm cách vượt qua xác thực đa yếu tố, thay vì sử dụng các phương pháp lừa đảo truyền thống hoặc phần mềm độc hại để xâm nhập thiết bị người dùng. Điều này làm dấy lên lo ngại về việc các dịch vụ xác thực bên thứ ba có thể trở thành điểm thất bại duy nhất.
04 Phản Ứng Từ Nền Tảng: Thiếu Minh Bạch Làm Dấy Lên Nghi Ngờ
Phản hồi của Polymarket về sự cố cho thấy xu hướng giữ kín thông tin, dẫn đến nhiều câu hỏi hơn là câu trả lời.
Trước tiên, nền tảng chỉ nói mơ hồ rằng "một số lượng nhỏ người dùng" bị ảnh hưởng, mà không đưa ra con số cụ thể hay tỷ lệ phần trăm. Thứ hai, tổng số tiền bị đánh cắp không được công bố, khiến cộng đồng không thể đánh giá mức độ nghiêm trọng của sự kiện. Thứ ba, Polymarket không nêu rõ tên nhà cung cấp bên thứ ba liên quan, dù cộng đồng nghi ngờ Magic Labs là đối tượng.
Ở khía cạnh kỹ thuật, Polymarket khẳng định đã "khắc phục" sự cố nhưng không giải thích chi tiết các biện pháp đã thực hiện.
Một số thành viên cộng đồng nhận thấy sau sự cố, Polymarket dường như đã tăng độ dài mã OTP từ ba lên sáu chữ số, nhưng công ty chưa đưa ra bình luận chính thức về thay đổi này.
05 Bài Học Bảo Mật: Rủi Ro Hệ Thống Từ Tích Hợp Bên Thứ Ba
Đây không phải lần đầu Polymarket gặp sự cố bảo mật do dịch vụ bên thứ ba. Vào tháng 9 năm 2024, một số người dùng đăng nhập qua tài khoản Google đã phản ánh việc quỹ USDC của họ bị chuyển đến địa chỉ lừa đảo.
Tháng trước, một chiến dịch lừa đảo lợi dụng phần bình luận trên nền tảng đã khiến người dùng mất hơn 500.000 USD. Những sự kiện này cho thấy thách thức chung của các nền tảng tiền mã hóa: dù hợp đồng thông minh lõi có an toàn, phụ thuộc vào dịch vụ bên thứ ba vẫn có thể tạo ra lỗ hổng bảo mật.
Các chuyên gia ngành nhận định, khi người dùng dựa vào hạ tầng xác thực tập trung mà không trực tiếp do nền tảng kiểm soát, hệ thống tích hợp càng dễ trở thành mục tiêu tấn công.
06 Hành Động Người Dùng: Khuyến Nghị Thực Tiễn Để Bảo Vệ Tài Sản
Đối với người dùng tiền mã hóa, sự cố Polymarket mang lại nhiều bài học bảo mật quan trọng.
Lời khuyên trực tiếp nhất là tránh sử dụng các tùy chọn đăng nhập bên thứ ba và nên kết nối với nền tảng bằng ví mà bạn nắm giữ khóa riêng. Dù điều này khiến việc tham gia trở nên khó khăn hơn, đây vẫn là cách bảo vệ tài sản tốt nhất cho đến khi các nền tảng chứng minh khả năng tích hợp dịch vụ bên thứ ba một cách an toàn.
Người dùng nên thường xuyên kiểm tra hoạt động tài khoản, kích hoạt tất cả tính năng bảo mật sẵn có và cảnh giác với các lần đăng nhập bất thường. Phân bổ tài sản trên nhiều nền tảng thay vì tập trung vào một nơi cũng là chiến lược giảm thiểu rủi ro hợp lý.
Khi Polymarket lên kế hoạch chuyển đổi từ Polygon và ra mắt mạng Ethereum Layer 2 riêng, người dùng càng cần chú ý đến an toàn tài sản trong giai đoạn chuyển đổi này.
Triển Vọng Sắp Tới
Tính đến ngày 25 tháng 12, tổng khối lượng giao dịch của Polymarket đã đạt 1,538 tỷ USD, với 419.309 người dùng hoạt động hàng tháng. Khi người dùng tỉnh dậy và phát hiện tài khoản chỉ còn lại 0,01 USD, sự cố này không còn là một trục trặc kỹ thuật đơn thuần—mà là phép thử nghiêm túc đối với kiến trúc bảo mật của toàn bộ hệ sinh thái tiền mã hóa.
An toàn tài sản người dùng luôn là nền tảng vận hành của Gate. Trong bối cảnh ngành tiền mã hóa đối mặt với các thách thức bảo mật ngày càng phức tạp, Gate tiếp tục củng cố hạ tầng bảo mật và cung cấp cho người dùng nhiều lớp bảo vệ tài sản.
