Децентралізована платформа для прогнозування Polymarket підтвердила 25 грудня, що кошти деяких користувачів було викрадено, а їхні залишки на рахунках обнулено через вразливість у сторонньому провайдері автентифікації. Постраждали переважно ті користувачі, які реєструвалися через сервіс Magic Labs, що дозволяє входити за допомогою електронної пошти та автоматично створює некостодіальний гаманець Ethereum.
Ця вразливість дала змогу обійти стандартні заходи безпеки, зокрема двофакторну автентифікацію, що викликало широке занепокоєння на ринку щодо надійності інтеграцій сторонніх сервісів на криптоплатформах.
01 Огляд інциденту: ризики для активів через вразливості сторонніх сервісів
Крадіжка активів користувачів Polymarket не виникла через вразливість у базових смартконтрактах платформи. Вона стала наслідком проблеми безпеки у сторонньому провайдері автентифікації, на якого покладається платформа.
В офіційному Discord-каналі платформи зазначено: «Нещодавно ми виявили та усунули проблему безпеки, що зачепила невелику кількість користувачів, спричинену вразливістю у сторонньому провайдері автентифікації».
Хоча платформа стверджує, що проблему вирішено і поточних ризиків немає, точна кількість постраждалих користувачів і загальна сума втрат не розголошуються. Відсутність цієї інформації викликала широке занепокоєння у спільноті щодо реальних масштабів та серйозності інциденту.
02 Хід атаки: реконструкція типових сценаріїв користувачів
Згідно з повідомленнями користувачів у соціальних мережах, цей інцидент мав чіткі характерні риси.
Один із користувачів Reddit описав свій досвід так: «Я прокинувся цього ранку й отримав три сповіщення про спроби входу в Polymarket — мій пристрій не був скомпрометований, Google не виявив підозрілої активності, а всі інші сервіси працюють нормально».
Проте після входу на Polymarket він виявив, що всі його угоди були закриті, а залишок на рахунку становив лише $0,01. Це означало, що гаманець майже повністю спорожніли.
Інший користувач повідомив про схожий випадок. Хоча він не переходив за підозрілими посиланнями та використовував двофакторну автентифікацію для електронної пошти, це не завадило зловмисникам вивести всі кошти після отримання трьох сповіщень про спроби входу.
03 Постраждалі користувачі: ціль — реєстрації через Magic Labs
Жертви цього інциденту мали спільну рису: більшість із них реєстрували акаунти Polymarket через Magic Labs.
Magic Labs — це сторонній сервіс для входу, орієнтований на новачків у криптоіндустрії. Він дозволяє авторизуватися лише за допомогою електронної пошти, а система автоматично створює у фоновому режимі некостодіальний гаманець Ethereum. Такий підхід суттєво знижує поріг входу в крипто, але водночас створює нові вектори атак.
Схоже, що зловмисники навчилися обходити багатофакторну автентифікацію, не вдаючись до класичного фішингу чи шкідливого ПЗ для компрометації пристроїв. Це викликає серйозні побоювання щодо сторонніх сервісів автентифікації як потенційних точок відмови.
04 Реакція платформи: нестача інформації породжує нові сумніви
Відповідь Polymarket на інцидент продемонструвала схильність до приховування інформації, що породило більше запитань, ніж відповідей.
По-перше, платформа розпливчасто заявила, що постраждала лише «невелика кількість користувачів», не надавши конкретних цифр чи відсотків. По-друге, не було оприлюднено загальну суму викрадених коштів, що унеможливлює для спільноти оцінити масштаб події. По-третє, Polymarket не назвала напряму стороннього провайдера, хоча спільнота широко підозрює Magic Labs.
З технічного боку платформа заявила, що проблему «вирішено», але не пояснила, які саме зміни були впроваджені.
Дехто зі спільноти відзначив, що після інциденту Polymarket, імовірно, збільшила довжину одноразового пароля з трьох до шести цифр, однак компанія публічно це не коментувала.
05 Висновки з безпеки: системні ризики сторонніх інтеграцій
Це не перший випадок, коли Polymarket стикається з інцидентом безпеки через сторонні сервіси. У вересні 2024 року кілька користувачів, які входили через акаунти Google, повідомили про переказ своїх USDC на фішингові адреси.
Минулого місяця фішингова кампанія, що використовувала коментарі на платформі, призвела до втрат користувачів на понад $500 000. Ці випадки демонструють типову проблему для криптоплатформ: навіть якщо основні смартконтракти захищені, залежність від сторонніх сервісів може створювати вразливості безпеки.
Аналітики галузі зазначають, що коли користувачі покладаються на уніфіковану інфраструктуру автентифікації, яка не контролюється напряму платформою, інтегровані системи стають особливо вразливими до атак.
06 Дії користувачів: практичні поради щодо захисту активів
Для користувачів криптовалют інцидент із Polymarket є важливим уроком з безпеки.
Найпростіша порада — уникати використання сторонніх опцій входу і підключатися до платформ через гаманці, приватні ключі яких контролюєте саме ви. Хоча це підвищує поріг входу, наразі це найнадійніший спосіб захистити свої активи, доки платформи не доведуть безпеку інтеграції сторонніх сервісів.
Користувачам варто регулярно перевіряти активність облікового запису, вмикати всі доступні функції безпеки та бути уважними до незвичних спроб входу. Також доцільно розподіляти активи між різними платформами, а не концентрувати всі кошти в одному місці.
Оскільки Polymarket планує міграцію з Polygon і запуск власної мережі Ethereum Layer 2, користувачам слід приділити особливу увагу безпеці активів під час переходу.
Погляд у майбутнє
Станом на 25 грудня 2024 року загальний обсяг торгів на Polymarket досяг $1,538 млрд, а кількість активних користувачів за місяць становила 419 309. Коли користувачі прокидаються і бачать на рахунку лише $0,01, це вже не просто технічний збій — це серйозний виклик для архітектури безпеки всієї криптоекосистеми.
Безпека коштів користувачів залишається основою роботи платформи Gate. У відповідь на дедалі складніші виклики безпеки в індустрії криптовалют Gate постійно посилює свою інфраструктуру захисту й надає користувачам багаторівневий захист активів.
