Polymarket vulnérabilité tierce partie révélée ! Les utilisateurs de Magic Labs voient leurs comptes vidés

Le marché décentralisé de prédiction Polymarket a confirmé cette semaine qu’une vulnérabilité de sécurité impliquant un fournisseur tiers d’authentification a récemment affecté plusieurs utilisateurs. Selon des rapports sur les réseaux sociaux, les utilisateurs inscrits via Magic Labs sont devenus les principales victimes, découvrant au réveil que leurs fonds avaient été vidés. Polymarket a reconnu sur son Discord officiel que le problème provenait d’une faille introduite par le fournisseur tiers d’authentification.

Les utilisateurs découvrent avec effroi que leurs comptes sont vidés, la propagation du sinistre

(Source : Relay)

Plus tôt cette semaine, des rapports sur X et Reddit ont commencé à apparaître concernant le piratage de comptes Polymarket, les utilisateurs affectés décrivant en détail leurs pertes sur les réseaux sociaux. Un utilisateur Reddit a écrit : « Ce matin, en me réveillant, j’ai constaté trois tentatives de connexion sur Polymarket. Mon appareil n’a pas été compromis, Google n’a détecté aucune activité suspecte, et tous mes autres services fonctionnent normalement. J’ai alors ouvert Polymarket et découvert que toutes mes transactions avaient été annulées, mon solde n’étant plus que de 0,01 dollar. »

Dans la section des commentaires, un autre utilisateur affirme avoir subi une attaque similaire, malgré le fait de ne pas avoir cliqué sur de liens et d’avoir activé la double authentification, il a tout de même reçu trois notifications de tentatives de connexion avant que ses fonds ne soient volés. Ce type de situation, où la sécurité renforcée n’a pas permis d’éviter la perte, suscite de vives interrogations sur la sécurité de l’architecture de la plateforme.

Selon des rapports d’utilisateurs sur les réseaux sociaux, le problème semble concentré chez les utilisateurs inscrits via Magic Labs. Magic Labs est un service permettant aux utilisateurs de se connecter avec une adresse email et de créer un portefeuille Ethereum non custodial, une commodité qui en fait une option privilégiée pour les débutants en cryptomonnaie ne disposant pas de portefeuille numérique. Cependant, cet incident a mis en lumière les risques potentiels liés à la dépendance à un fournisseur tiers d’authentification.

Les caractéristiques communes des victimes sont : toutes ont utilisé Magic Labs pour s’inscrire, ont activé la double authentification, et ont reçu plusieurs notifications de tentatives de connexion avant le vol. Ce schéma suggère que les attaquants ont peut-être trouvé un moyen de contourner le mécanisme d’authentification de Magic Labs, plutôt que d’utiliser le phishing ou des logiciels malveillants pour compromettre directement l’appareil de l’utilisateur.

Réaction officielle de Polymarket suscite davantage de questions

Mardi, Polymarket a reconnu le problème de sécurité sur son canal Discord officiel. La plateforme a déclaré : « Nous avons récemment identifié et résolu un problème de sécurité affectant un petit nombre d’utilisateurs. Ce problème a été causé par une faille introduite par le fournisseur tiers d’authentification. » Polymarket affirme avoir résolu la vulnérabilité, qu’il n’existe aucun risque persistant, et qu’il contactera les utilisateurs affectés.

Cependant, cette réponse soulève plus de questions qu’elle n’apporte de réponses. D’abord, la plateforme n’a pas précisé le nombre exact d’utilisateurs affectés. « Un petit nombre » : combien ? 10, 100 ? Cette formulation vague empêche la communauté d’évaluer l’ampleur réelle de l’incident. Ensuite, aucune mention n’a été faite du montant total des fonds volés, ce qui empêche les utilisateurs d’évaluer la gravité des pertes. Troisièmement, Polymarket n’a pas clairement identifié le ou les fournisseurs tiers impliqués, bien que la communauté suspecte Magic Labs, sans confirmation officielle.

Trois omissions majeures dans la déclaration officielle

Taille de la victime inconnue : se contente de « peu d’utilisateurs » affectés, sans chiffres ni pourcentage

Montant des pertes non divulgué : la communauté ne peut pas évaluer la gravité ou la responsabilité potentielle

Identité du fournisseur tiers floue : aucune confirmation si Magic Labs est à l’origine de la faille, tentative de déni de responsabilité évidente

Plus inquiétant encore, Polymarket affirme que le problème « a été résolu » sans expliquer précisément quelles mesures correctives ont été prises. Magic Labs a-t-il corrigé la faille ? Polymarket a-t-il modifié son intégration ? Ou a-t-il simplement désactivé temporairement cette option de connexion ? L’absence de ces détails cruciaux empêche les utilisateurs de juger si continuer à utiliser la plateforme est sécurisé.

The Block a contacté Polymarket pour en savoir plus, mais n’a pas encore reçu de réponse à la publication. Cette opacité dans la communication contraste fortement avec la valeur de transparence prônée par les plateformes décentralisées.

Deux incidents en six mois : les fournisseurs tiers comme porte d’entrée principale

Ce dernier incident de sécurité s’inscrit dans la lignée des précédents, soulignant une faiblesse systémique dans la sécurité de l’intégration de services tiers par Polymarket. En septembre 2024, plusieurs utilisateurs connectés via Google ont rapporté que leur portefeuille avait été vidé. Les attaquants ont exploité une fonction de « proxy » pour transférer des fonds USDC vers une adresse de phishing. Polymarket a mené une enquête, estimant qu’il pourrait s’agir d’une attaque ciblée liée à un fournisseur tiers d’authentification.

Le mois dernier, une campagne de phishing dans la section commentaires du site a entraîné des pertes supérieures à 500 000 dollars. Les escrocs ont publié de faux liens ressemblant à ceux officiels, menant vers des sites frauduleux pour inciter les utilisateurs à entrer leur email et se connecter. Bien qu’il s’agisse cette fois d’une attaque d’ingénierie sociale plutôt que d’une faille technique, cela a néanmoins mis en évidence plusieurs vulnérabilités dans la sécurité de Polymarket.

Ces incidents répétés soulèvent des questions fondamentales sur l’architecture de sécurité de Polymarket. Pourquoi les services d’authentification tiers deviennent-ils systématiquement des points d’entrée pour les attaques ? La plateforme a-t-elle effectué des vérifications de sécurité approfondies lors de l’intégration ? Quelles mesures ont été prises après la découverte de ces failles pour éviter leur récurrence ? Ces questions restent sans réponse satisfaisante à ce jour.

L’un des principes fondamentaux d’un marché décentralisé est la « non-custodie », où l’utilisateur contrôle entièrement ses actifs. Cependant, lorsque la plateforme dépend d’un service tiers d’authentification, cette décentralisation est compromise. Magic Labs offre un « portefeuille non custodial », mais ses vulnérabilités en matière d’authentification peuvent permettre à un attaquant de prendre le contrôle du compte. Cela met en évidence la tension éternelle entre commodité et sécurité, un dilemme que les plateformes Web3 orientées utilisateur doivent affronter.

Pour les utilisateurs de Polymarket, la meilleure pratique actuelle consiste à éviter d’utiliser les options de connexion tierces et à privilégier la connexion via un portefeuille contrôlé par la clé privée de l’utilisateur. Bien que cela augmente la barrière à l’entrée, c’est la seule façon de garantir la sécurité des actifs tant que la plateforme n’a pas prouvé qu’elle peut sécuriser l’intégration de services tiers.