Polymarket підтвердив крадіжку коштів користувачів, вразливістю стала стороння служба «Одним натисканням»

Крадіжка коштів Polymarket у Святвечір сталася завдяки сторонньому сервісу гаманців Magic Labs, що підкреслює єдиний ризик зручності Web3.
(Резюме: Polymarket, лідер на ринках прогнозування, оголосив, що створить власний L2, козир Polygon зник?) ）
(Довідкове доповнення: Як досягти 40% річної прибутковості через арбітраж Polymarket?) ）

Polymarket, провідний ринок прогнозування криптовалют, повідомив про крадіжку коштів, і багато користувачів на X та Reddit рано вранці 24 грудня були розлючені, що «баланси рахунків були очищені».

Платформа одразу визнала вразливість у сфері безпеки у своєму офіційному Discord і вказала на «сторонніх провайдерів послуг». Інструмент відстеження блокчейну Lookonchain потім заблокував провайдера гаманців Magic Labs, зробивши цей інцидент найбільш обговорюваним порушенням безпеки на крипторинку наприкінці 2025 року.

За словами офіційних осіб, її відремонтували, але все ще існують занепокоєння

Менш ніж за годину після того, як користувач повідомив новину, Polymarket оприлюднив оголошення:

Ми виявили вразливість, пов’язану з стороннім постачальником послуг, яку було виправлено. Лише дуже невелика кількість постраждалих користувачів буде проактивно зв’язана.

Оголошення не розкривало кількість втрат і жертв, але викликало ще більшу паніку. Згідно з місячним оборотом платформи Polymarket у 2025 році, оцінюється у мільярди доларів щомісяця, і навіть «дуже небагато» можуть бути значними збитками.

На відміну від поширених фішингових атак, на момент інциденту не було жодних підозрілих посилань, і багато жертв навіть увімкнули електронну пошту 2FA. Ключ до обходу знаходиться не на стороні клієнта, а на сторонній автентифікації у фоновому режимі.

Механізм входу в Magic Labs став лазівкою

Щоб знизити цей бар’єр, Polymarket представила «Email One-Click Generation Non-Custodial Wallet» від Magic Labs. Користувачам не потрібно зберігати свої початкові фрази та надсилати коди верифікації для роботи з активами Ethereum. Зловмисники безпосередньо використовують системні вразливості на рівні автентифікації Magic Labs, щоб отримати контроль над гаманцями, роблячи 2FA недійсним.

Поточний потік в блокчейні показує, що адреса хакера розділяє активи за короткий проміжок часу і змішує монети через кілька шарів, що ускладнює відстеження процесу. Хоча офіційна особа заявила, що це було «виправлено», компанія поки що не відповіла на повний звіт про подальше уточнення, запитаний спільнотою.

Тим часом компанія з безпеки SlowMist попередила GitHub про шкідливого копір-бота Polymarket, який націлюється на високопоставлених гравців із власноруч створеними торговими скриптами. Програма, яка читає локальні конфігураційні файли та таємно передає приватні ключі, з’явилася в той самий день, що й вразливість Magic Labs, хоча й не була безпосередньо пов’язана з вразливістю Magic Labs.