Polymarket łączy włamania na konta z podatnością na logowanie zewnętrzne

Platforma Polymarket, zdecentralizowany rynek prognoz, powiązała włamania do kilku kont użytkowników z luką w zabezpieczeniach zewnętrznego dostawcy usług uwierzytelniających. Luka została usunięta, a firma twierdzi, że obecnie nie ma żadnego ryzyka. Nie podała jednak, ilu użytkowników zostało dotkniętych tym problemem i jaka kwota została skradziona.

Wiadomości o nieautoryzowanym dostępie zaczęły pojawiać się na początku tego tygodnia na X i Reddit: użytkownicy opisywali „wyzerowane” salda po otrzymaniu powiadomień o logowaniu. Jeden z użytkowników Reddit napisał: „Dzisiaj obudziłem się i zobaczyłem 3 próby logowania do Polymarket — moje urządzenie nie zostało zhakowane, Google nie znalazło nic podejrzanego, wszystkie inne usługi działają prawidłowo”, dodając, że „wszystkie moje transakcje zostały zamknięte, a saldo wynosi 0,01 USD”. Inny użytkownik poinformował, że otrzymał trzy powiadomienia o logowaniu, po czym środki zniknęły — mimo że nie kliknął żadnych linków i miał włączoną dwuskładnikową autentykację przez e-mail.

Według wpisów użytkowników wiele z zainfekowanych kont zostało utworzonych za pośrednictwem Magic Labs — narzędzia logowania za pomocą adresu e-mail, które generuje niepowiernicze portfele Ethereum. Polymarket nie podał nazwy dostawcy, o którym mowa.

We wtorek firma potwierdziła problem na swoim oficjalnym Discordzie: „Niedawno zidentyfikowaliśmy i rozwiązaliśmy problem bezpieczeństwa, który dotyczył niewielkiej liczby użytkowników”. Polymarket dodał: „Problem został spowodowany przez lukę wprowadzoną przez zewnętrznego dostawcę usług uwierzytelniających”, a także: „Będziemy pozostawać w kontakcie z użytkownikami, których dotyczy ta kwestia” i powtórzyła, że nie widzi żadnych pozostałych zagrożeń.

Incydent miał miejsce po wcześniejszych doniesieniach o „wycieku” środków z kont we wrześniu 2024 r. związanych z logowaniem przez Google, kiedy to cyberprzestępcy wykorzystali „proxy” wywołania funkcji do przekierowania USDC na adresy phishingowe. Wówczas Polymarket sprawdzało, czy wykorzystano zewnętrzne narzędzie uwierzytelniające. Osobno kampania phishingowa, która w zeszłym miesiącu wykorzystywała sekcje komentarzy, spowodowała straty użytkowników w wysokości ponad 500 000 dolarów po tym, jak ofiary zostały zwabione na fałszywe strony internetowe i poproszone o zalogowanie się za pomocą adresu e-mail.

Jak informowaliśmy wcześniej, pod koniec 2025 r. giełdy kryptowalut rywalizowały między sobą pod względem szybkości uruchomienia rynków prognoz — kontraktów powiązanych z wydarzeniami w świecie rzeczywistym — jako nowego elementu statusowego w aplikacjach, w których użytkownicy już przechowują środki. 

Inwestor venture capital Santiago Roel Santos powiedział, że po wejściu do masowych narzędzi fintech produkty te mogą działać jak kasyna i przyspieszać odpływ użytkowników. Dodał, że kontrakty na wysoce zmienne wydarzenia skracają drogę do likwidacji, a likwidacja często skłania użytkowników do opuszczenia platformy.