Polymarket пов’язує злами акаунтів із вразливістю стороннього логіну

Платформа Polymarket, децентралізований ринок прогнозів, пов’язала злами кількох акаунтів користувачів із вразливістю у стороннього провайдера автентифікації. Ваду усунули, і компанія заявляє, що поточного ризику немає. Вона не повідомила, скількох користувачів це зачепило і яку суму вкрали.

Повідомлення про несанкціонований доступ почали з’являтися раніше цього тижня в X і Reddit: користувачі описували «обнулені» баланси після отримання сповіщень про вхід. Один користувач Reddit написав: “Today I woke up and see 3 attempts to login to polymarket — My device isn’t compromised, google found nothing suspicious, all other services are fine,” додавши, що “all my deals were closed and balance is $0.01.” Інший користувач повідомив, що отримав три сповіщення про вхід, після чого кошти зникли — попри те, що він не натискав жодних посилань і мав увімкнену двофакторну автентифікацію через електронну пошту.

За дописами користувачів, багато з уражених акаунтів були створені через Magic Labs — інструмент входу за email, який генерує некастодіальні Ethereum-гаманці. Polymarket не назвала провайдера, про якого йдеться.

У вівторок компанія визнала проблему у своєму офіційному Discord: “We recently identified and resolved a security issue affecting a small number of users.” Polymarket додала: “The issue was caused by a vulnerability introduced by a third-party authentication provider,” а також: “Ми будемо підтримувати зв’язок із користувачами, яких це стосується,” і повторила, що не бачить жодних залишкових ризиків.

Інцидент стався після попередніх повідомлень про «злив» коштів із акаунтів у вересні 2024 року, пов’язаних із входом через Google, коли зловмисники використовували “proxy” виклики функцій, щоб перенаправляти USDC на фішингові адреси. Тоді Polymarket перевіряла, чи був залучений сторонній інструмент автентифікації. Окремо, фішингова кампанія, яка зловживала секціями коментарів минулого місяця, призвела до понад $500 000 збитків користувачів після того, як жертв заманювали на шахрайські сайти й просили увійти через email.

Як ми повідомляли раніше, криптобіржі наприкінці 2025 року змагалися в швидкості, щоб запустити ринки прогнозів — контракти, прив’язані до подій реального світу — як новий статусний елемент в застосунках, де користувачі вже зберігають кошти. 

Венчурний інвестор Santiago Roel Santos сказав, що потрапивши всередину масових фінтех-інструментів, ці продукти можуть працювати як казино й пришвидшувати відтік користувачів. Він додав, що контракти на високоволатильні події скорочують шлях до ліквідації, а ліквідація часто штовхає користувачів залишати платформу.