Децентрализованная платформа прогнозных рынков Polymarket подтвердила факт утечки средств у ряда пользователей из-за уязвимости в системе стороннего провайдера аутентификации. Инцидент стал известен в начале недели, когда в социальных сетях X и Reddit начали появляться сообщения о несанкционированном доступе к аккаунтам и пропаже активов.
Платформа оперативно отреагировала, заявив во вторник в своём официальном Discord-канале: «Мы недавно выявили и устранили проблему безопасности, затронувшую небольшое количество пользователей. Проблема была вызвана уязвимостью, внесённой сторонним провайдером аутентификации». Polymarket подчеркнула, что угроза устранена и остаточных рисков нет, пообещав связаться с пострадавшими пользователями напрямую.
Однако компания не раскрыла название скомпрометированного провайдера, точное количество затронутых пользователей и общий объём ущерба. По данным пользователей, инцидент, по всей видимости, затронул тех, кто регистрировался на платформе через Magic Labs — сервис, позволяющий входить с помощью email-адреса и создающий некастодиальные кошельки Ethereum. Этот метод популярен среди новичков в криптоиндустрии.
«Сегодня я проснулся и увидел 3 попытки входа в Polymarket... Я зашёл в Polymarket и понял, что все мои сделки закрыты, а баланс составляет $0.01», — написал один из пользователей на Reddit. Другой пострадавший утверждал, что средства были выведены с его счёта, несмотря на включённую двухфакторную аутентификацию для электронной почты.
Это не первый подобный инцидент на платформе. В сентябре 2024 года несколько пользователей, входивших через аккаунты Google, сообщали о сливе средств из кошельков. Тогда атака также связывалась с потенциальной уязвимостью у стороннего провайдера аутентификации. Кроме того, в прошлом месяце фишинговая кампания в разделах комментариев Polymarket привела к потерям пользователей на сумму более $500 000.
Инцидент высвечивает системную проблему зависимости криптоплатформ от сторонних сервисов, которые могут стать слабым звеном в цепи безопасности. Ответ Polymarket, сочетающий оперативное устранение уязвимости с ограниченной прозрачностью, ставит вопросы об accountability в экосистеме DeFi и о том, как платформа будет возмещать убытки пользователям.
