Полимаркет признает, что средства пользователей были украдены, а сторонние сервисы «входа в один клик» стали уязвимостью
Полимаркет сообщил, что средства были украдены в канун Рождества. Уязвимость возникла в стороннем сервисе кошельков Magic Labs, что подчеркивает единственную точку риска, лежащую в основе удобства Web3.
(Предварительный брифинг: Polymarket, лидер рынка прогнозов, объявил, что построит собственный L2. Неужели козырная карта Polygon исчезла?)
(Справочное дополнение: Как добиться 40% годового дохода с помощью арбитража Polymarket?)
Polymarket, лидер рынка криптопрогнозирования, сообщил, что средства были украдены, и многие пользователи были в ярости от X и Reddit в ранним утром 24 декабря выяснилось, что «баланс счета опустошён».
Платформа немедленно признала уязвимость в безопасности официального Discord и указала на нее «стороннему поставщику услуг». Инструмент внутрисетевого отслеживания Lookonchain впоследствии был нацелен на поставщика услуг кошельков Magic Labs, что сделало этот инцидент самым громким нарушением безопасности на рынке криптовалют в конце 2025 года.
Официально заявлено, что проблема исправлена, но некоторые люди все еще обеспокоены
Менее чем через час после того, как пользователь сообщил эту новость, Polymarket опубликовал объявление:
Мы обнаружили уязвимость, связанную со сторонним поставщиком услуг, которая была исправлена. Это затронуло лишь очень небольшое количество пользователей, и мы заранее свяжемся с этими пользователями.
В объявлении не раскрывалась сумма потерь и количество жертв, но оно вызвало еще большую панику. Согласно месячному объему транзакций платформы Polymarket в 2025 году, по оценкам, он будет составлять миллиарды долларов каждый месяц. Даже «очень небольшое количество» может привести к большим потерям.
В отличие от обычных фишинговых атак, на момент инцидента не распространялось никаких подозрительных ссылок, и многие жертвы даже включили двухфакторную аутентификацию по электронной почте. Ключ к обходу линии защиты находится не на стороне пользователя, а в сторонней аутентификации в фоновом режиме.
Механизм входа в Magic Labs стал лазейкой
Чтобы снизить порог, Polymarket внедрила технологию Magic Labs «Создание кошелька, не связанного с хранением, по электронной почте в один клик». Пользователям не нужно хранить мнемонические слова, и они могут управлять активами Ethereum, отправляя коды подтверждения. Однако злоумышленник напрямую использует уязвимость системы на уровне аутентификации Magic Labs, чтобы получить контроль над кошельком, а 2FA эквивалентен недействительному.
Текущий поток в цепочке показывает, что адрес хакера разделил активы за короткий период времени и смешал монеты по нескольким слоям, что затрудняет отслеживание. Хотя чиновник заявил, что он «отремонтирован», он еще не ответил на запрос сообщества о предоставлении полного отчета после инцидента.
В то же время охранная компания SlowMist предупредила GitHub о появлении вредоносных роботов-копировщиков Polymarket, специально нацеленных на продвинутых игроков, которые создают свои собственные торговые скрипты. Эта программа читает локальный файл конфигурации и тайно отправляет закрытый ключ. Хотя это и не связано напрямую с уязвимостью Magic Labs, она вспыхнула в тот же день.
