Người dùng báo cáo về vụ vi phạm Polymarket liên quan đến xác thực của bên thứ ba

Nhiều người dùng đã báo cáo mất tiền trên Polymarket, một nền tảng dự đoán lớn, sau một vụ vi phạm gần đây dường như liên quan đến nhà cung cấp xác thực bên thứ ba.

Người dùng Polymarket mô tả việc bị xâm nhập tài khoản đột ngột và số dư bị rút sạch

Các báo cáo về việc xâm nhập tài khoản trên Polymarket bắt đầu xuất hiện từ đầu tuần này trên X và Reddit, khi các người dùng bị ảnh hưởng chia sẻ chi tiết về các khoản mất mát đột ngột. Một người dùng viết rằng khi thức dậy, họ thấy có 3 lần cố gắng đăng nhập vào tài khoản của mình mặc dù khẳng định thiết bị của họ không bị xâm phạm.

Người dùng đó cho biết Google không phát hiện điều gì đáng ngờ và tất cả các dịch vụ khác đều bình thường. Tuy nhiên, sau khi truy cập nền tảng, họ phát hiện tất cả các vị thế mở đã bị đóng và số dư của họ đã giảm xuống chỉ còn $0.01, cho thấy ví đã bị rút sạch hoàn toàn.

Một bình luận khác trên Reddit mô tả một vụ xâm nhập tài khoản Polymarket tương tự, nhận được ba thông báo đăng nhập trước khi số tiền biến mất khỏi tài khoản. Hơn nữa, họ khẳng định rằng họ không nhấp vào bất kỳ liên kết nào và đã bật xác thực hai yếu tố trên email của mình, gây lo ngại về khả năng vượt qua xác thực hai yếu tố tại nhà cung cấp dịch vụ.

Tập trung vào Magic Labs và truy cập ví qua email

Theo nhiều báo cáo từ người dùng trên mạng xã hội, các tài khoản bị ảnh hưởng phần lớn thuộc về khách hàng đăng ký qua Magic Labs. Dịch vụ này cho phép người dùng đăng nhập bằng địa chỉ email và tự động tạo ví ethereum phi quản lý cho họ ở phía sau.

Magic Labs được sử dụng rộng rãi bởi những người mới bắt đầu trong lĩnh vực crypto, những người thiếu kinh nghiệm trước đó với ví tài sản kỹ thuật số. Tuy nhiên, mô hình ví đăng nhập qua email này có thể mở rộng bề mặt tấn công nếu hạ tầng của bên thứ ba bị xâm phạm hoặc cấu hình sai.

Một số thành viên cộng đồng trên X và Discord đã suy đoán rằng lỗ hổng này liên quan trực tiếp đến vấn đề xác thực của Magic Labs. Tuy nhiên, ở giai đoạn này, những tuyên bố đó vẫn chưa được xác minh, vì chưa có bài phân tích kỹ thuật nào được công bố và nhà cung cấp nào cũng chưa xác nhận công khai về vụ vi phạm.

Polymarket xác nhận vấn đề bảo mật từ bên thứ ba

Polymarket đã thừa nhận rằng một số tài khoản người dùng đã bị mất tiền do một vấn đề bảo mật liên quan đến dịch vụ bên ngoài. Vào thứ Ba, nhóm đã đề cập đến vụ việc trên kênh Discord chính thức của mình, xác nhận rằng nhà cung cấp xác thực bên thứ ba là trung tâm của vấn đề.

“Gần đây, chúng tôi đã xác định và khắc phục một vấn đề bảo mật ảnh hưởng đến một số ít người dùng,” nền tảng viết trong bản cập nhật trên Discord. Hơn nữa, Polymarket cho biết rằng vấn đề bắt nguồn từ “một lỗ hổng do nhà cung cấp xác thực bên thứ ba giới thiệu,” mà không cung cấp thêm chi tiết kỹ thuật.

Công ty không tiết lộ số lượng người dùng bị ảnh hưởng hoặc tổng giá trị bị đánh cắp. Tuy nhiên, họ nhấn mạnh rằng lỗ hổng đã được khắc phục và khẳng định rằng không còn rủi ro nào đang tồn tại đối với người dùng hiện tại. Nhóm còn cho biết sẽ liên hệ với các người dùng bị ảnh hưởng để giải quyết các trường hợp cá nhân và khả năng bồi thường.

Dù có nhiều suy đoán từ người dùng, Polymarket cho đến nay vẫn từ chối xác định nhà cung cấp cụ thể liên quan đến vụ vi phạm của nền tảng. The Block đã liên hệ với nhóm để lấy thêm thông tin, nhưng chưa có tuyên bố công khai nào được báo cáo tại thời điểm viết bài.

Các vụ việc trước đó: rút ví và lừa đảo qua mạng xã hội

Vụ tấn công mới nhất phản ánh các thách thức bảo mật trước đó của nền tảng dự đoán này. Vào tháng 9 năm 2024, nhiều người dùng đăng nhập qua tài khoản Google đã báo cáo việc rút ví USDC đột ngột, với kẻ tấn công sử dụng các lệnh gọi “proxy” để chuyển tiền của người dùng đến các địa chỉ lừa đảo.

Lúc đó, Polymarket cho biết đang điều tra các vụ tấn công này như các khai thác có mục tiêu, một lần nữa liên quan đến nhà cung cấp xác thực bên thứ ba thay vì giao thức cốt lõi. Báo cáo rút ví USDC trước đó đã đặt ra câu hỏi về mức độ kiểm soát của các công cụ đăng nhập bên ngoài đối với quyền hạn trên chuỗi.

Ngoài ra, một chiến dịch lừa đảo qua mạng khai thác các phần bình luận của nền tảng tháng trước đã dẫn đến hơn $500,000 mất mát của người dùng được báo cáo. Các kẻ lừa đảo đã đăng các liên kết giả mạo đến các trang web gian lận bắt chước các trang chính thức và yêu cầu người dùng đăng nhập qua email, biến giao diện thành một phần bình luận lừa đảo.

Sự giám sát liên tục về xác thực bên thứ ba trong crypto

Chuỗi các sự kiện đã làm tăng cường sự giám sát các giải pháp xác thực bên thứ ba trong lĩnh vực crypto. Các công cụ tiện ích kết nối đăng nhập qua email hoặc mạng xã hội truyền thống với ví blockchain hiện được xem là các điểm yếu tiềm năng. Hơn nữa, khi các nhà cung cấp này bị xâm phạm, kẻ tấn công có thể truy cập rộng rãi mà không cần phải xâm phạm hợp đồng thông minh trên chuỗi.

Hiện tại, Polymarket cho biết vấn đề ngay lập tức đã được giải quyết và các người dùng bị ảnh hưởng sẽ được liên hệ trực tiếp. Tuy nhiên, việc phụ thuộc lặp đi lặp lại vào các nhà cung cấp xác thực bên ngoài có thể khiến các nền tảng ngày càng chịu áp lực phải cung cấp sự minh bạch rõ ràng hơn, quyền hạn chi tiết hơn và giám sát chặt chẽ hơn về các tích hợp này.

Các vụ việc gần đây tại Polymarket làm nổi bật mâu thuẫn giữa khả năng sử dụng và an ninh trong thị trường crypto.

Trong khi các công cụ đăng nhập bên thứ ba có thể giảm rào cản cho người mới, chúng cũng mở ra các lối tấn công mới mà cả nền tảng và người dùng sẽ cần hiểu rõ và giảm thiểu một cách chủ động hơn.