Polymarket признана, что средства пользователей были украдены, уязвимость в сторонних сервисах «одним кликом входа»

Polymarket в канун Рождества столкнулся с кражей средств, уязвимость возникла из-за стороннего сервиса кошельков Magic Labs, что подчеркнуло риск единой точки отказа в удобстве Web3.
(Предыстория: Лидер рынка предсказаний Polymarket объявил о создании собственного L2, исчезла ли карта Polygon?)
(Дополнительная информация: как с помощью Polymarket арбитража добиться годовой доходности 40%?)

Лидер рынка предсказательных рынков Polymarket сообщил о краже средств, несколько пользователей в ночь с 24 декабря на 25 декабря в X и Reddit возмутились тем, что «баланс аккаунта был очищен».

Платформа сразу же признала наличие уязвимости в официальном Discord и указала на «стороннего поставщика услуг». Инструмент отслеживания цепочки Lookonchain затем заблокировал сервис кошельков Magic Labs, сделав этот инцидент одним из самых обсуждаемых уязвимостей в сфере Криптовалют в конце 2025 года.

Официальные представители заявили, что уязвимость устранена, но некоторые по-прежнему обеспокоены.

Менее чем через час после жалоб пользователей Polymarket выпустил объявление:

Мы обнаружили уязвимость, связанную со сторонним поставщиком услуг, и уже исправили её. Пострадавшие пользователи составляют очень малую часть, и мы свяжемся с ними напрямую.

В объявлении не указана сумма потерь и число пострадавших, что вызвало ещё большую паніку. Согласно ежемесячному объему сделок платформы Polymarket в 2025 году, который оценивается в десятки миллиардов долларов, даже «очень малая часть» может означать значительные потери.

В отличие от обычных фишинговых атак, в момент инцидента не распространялись подозрительные ссылки, многие пострадавшие даже активировали двухфакторную аутентификацию по электронной почте. Ключ к обходу защиты заключался не в клиенте, а в сторонней системе аутентификации на бекенде.

Уязвимость в системе входа Magic Labs

Для снижения порога входа Polymarket внедрил «Email-одним кликом для генерации некастомных кошельков» от Magic Labs. Пользователи не обязаны хранить мнемоническую фразу, достаточно отправить код подтверждения для управления активами Ethereum. Однако злоумышленники использовали уязвимость системы аутентификации Magic Labs для получения контроля над кошельками, делая двухфакторную аутентификацию бесполезной.

На цепочке видно, что злоумышленники в короткое время разделили активы и через многоуровневое смешивание увеличили сложность отслеживания. Официальные представители заявили, что «уязвимость уже устранена», но пока не предоставили полный отчет о случившемся по требованию сообщества.

В то же время компания по безопасности SlowMist предупредила о появлении на GitHub вредоносных ботов Polymarket, предназначенных для автоматического копирования сделок, специально для опытных игроков, использующих собственные торговые скрипты. Эти программы читают локальные конфигурационные файлы и тайно передают приватные ключи, хотя напрямую связаны с уязвимостью Magic Labs, но были обнаружены в тот же день.