Polymarket связывает взломы аккаунтов с уязвимостью стороннего логина

Платформа Polymarket, децентрализованный рынок прогнозов, связала взломы нескольких аккаунтов пользователей с уязвимостью у стороннего провайдера аутентификации. Недостаток устранили, и компания заявляет, что текущего риска нет. Она не сообщила, сколько пользователей это коснулось и какую сумму украли.

Сообщения о несанкционированном доступе начали появляться ранее на этой неделе в X и Reddit: пользователи описывали «обнуленные» балансы после получения уведомлений о входе. Один пользователь Reddit написал: «Сегодня я проснулся и увидел 3 попытки входа в Polymarket — мое устройство не взломано, Google не нашел ничего подозрительного, все другие сервисы работают нормально», добавив, что «все мои сделки были закрыты, а баланс составляет $0,01». Другой пользователь сообщил, что получил три уведомления о входе, после чего средства исчезли — несмотря на то, что он не нажимал никаких ссылок и имел включенную двухфакторную аутентификацию через электронную почту.

По сообщениям пользователей, многие из затронутых аккаунтов были созданы через Magic Labs — инструмент входа по электронной почте, который генерирует некастодиальные Ethereum-кошельки. Polymarket не назвала провайдера, о котором идет речь.

Во вторник компания признала проблему в своем официальном Discord: «We recently identified and resolved a security issue affecting a small number of users.» Polymarket добавила: «The issue was caused by a vulnerability introduced by a third-party authentication provider», а также: «Мы будем поддерживать связь с пользователями, которых это касается», и повторила, что не видит никаких остаточных рисков.

Инцидент произошел после предыдущих сообщений о «сливе» средств со счетов в сентябре 2024 года, связанных с входом через Google, когда злоумышленники использовали «proxy» вызовы функций, чтобы перенаправлять USDC на фишинговые адреса. Тогда Polymarket проверяла, был ли задействован сторонний инструмент аутентификации. Отдельно, фишинговая кампания, которая злоупотребляла секциями комментариев в прошлом месяце, привела к более чем $500 000 убытков пользователей после того, как жертв заманивали на мошеннические сайты и просили войти через email.

Как мы сообщали ранее, криптобиржи в конце 2025 года соревновались в скорости, чтобы запустить рынки прогнозов — контракты, привязанные к событиям реального мира — как новый статусный элемент в приложениях, где пользователи уже хранят средства. 

Венчурный инвестор Santiago Roel Santos сказал, что попав внутрь массовых финтех-инструментов, эти продукты могут работать как казино и ускорять отток пользователей. Он добавил, что контракты на высоковолатильные события сокращают путь к ликвидации, а ликвидация часто подталкивает пользователей покидать платформу.