Polymarket disetujui pengguna dana dicuri, layanan pihak ketiga "Login Satu Klik" menjadi celah keamanan

Pencurian dana Polymarket pada Malam Natal berasal dari layanan dompet pihak ketiga Magic Labs, menyoroti satu-satunya titik risiko di balik kenyamanan Web3.
(Ringkasan: Polymarket, pemimpin pasar prediksi, mengumumkan bahwa mereka akan membangun L2 sendiri, kartu truf Polygon hilang?) ）
(Suplemen latar belakang: Bagaimana cara mencapai pengembalian tahunan 40% melalui arbitrase Polymarket?) ）

Polymarket, pasar prediksi kripto terkemuka, melaporkan bahwa dana telah dicuri, dan banyak pengguna marah di X dan Reddit pada pagi hari tanggal 24 Desember bahwa “saldo akun telah dibersihkan.”

Platform segera mengakui kerentanan keamanan pada Discord resminya dan menunjuk ke “penyedia layanan pihak ketiga.” Alat pelacakan on-chain Lookonchain kemudian mengunci penyedia layanan dompet Magic Labs, menjadikan insiden tersebut sebagai pelanggaran keamanan yang paling banyak dibicarakan di pasar kripto pada akhir 2025.

Para pejabat mengatakan itu telah diperbaiki, tetapi masih ada kekhawatiran

Kurang dari satu jam setelah pengguna menyampaikan berita tersebut, Polymarket mengeluarkan pengumuman:

Kami telah mengidentifikasi kerentanan yang terkait dengan penyedia layanan pihak ketiga yang telah diperbaiki. Hanya sejumlah kecil pengguna yang terkena dampak yang akan dihubungi secara proaktif.

Pengumuman itu tidak mengungkapkan jumlah kerugian dan jumlah korban, tetapi menyebabkan kepanikan yang lebih besar. Menurut omset bulanan platform Polymarket pada tahun 2025, diperkirakan miliaran dolar setiap bulan, dan bahkan “sangat sedikit” bisa menjadi kerugian tinggi.

Tidak seperti serangan phishing umum, tidak ada tautan mencurigakan yang beredar pada saat kejadian, dan banyak korban bahkan mengaktifkan email 2FA. Kunci bypass tidak ada di sisi klien, tetapi pada autentikasi pihak ketiga di latar belakang.

Mekanisme login Magic Labs menjadi celah

Untuk menurunkan hambatan, Polymarket memperkenalkan “Email One-Click Generation Non-Custodial Wallet” dari Magic Labs. Pengguna tidak perlu menyimpan frasa benih mereka dan mengirim kode verifikasi untuk mengoperasikan aset Ethereum. Penyerang secara langsung mengeksploitasi kerentanan sistem di lapisan otentikasi Magic Labs untuk mendapatkan kendali atas dompet, membuat 2FA tidak valid.

Aliran on-chain saat ini menunjukkan bahwa alamat peretas membagi aset dalam waktu singkat dan mencampur koin melalui beberapa lapisan, membuatnya lebih sulit untuk dilacak. Meskipun pejabat itu mengatakan telah “diperbaiki”, pihaknya belum menanggapi laporan tindak lanjut lengkap yang diminta oleh masyarakat.

Sementara itu, perusahaan keamanan SlowMist telah memperingatkan GitHub tentang bot salinan Polymarket berbahaya yang menargetkan pemain tingkat tinggi dengan skrip perdagangan yang dibuat sendiri. Program, yang membaca file konfigurasi lokal dan diam-diam mengirimkan kunci pribadi, pecah pada hari yang sama dengan kerentanan Magic Labs, meskipun tidak terkait langsung dengan kerentanan Magic Labs.