Polymarket Попередження про безпеку: Як вразливість сторонньої аутентифікації може очистити гаманці користувачів

DeFi-прогнозна платформа Polymarket 25 грудня підтвердила, що через вразливість у безпеці стороннього сервісу автентифікації частина коштів користувачів була викрадена, а їхні рахунки очищені. Постраждалі користувачі здебільшого реєструвалися через Magic Labs — сервіс, який дозволяє входити за допомогою електронної пошти та автоматично створює некастодіальні гаманці Ethereum.

Ця уразливість обійшла стандартні заходи безпеки, такі як двофакторна автентифікація, що викликало широку стурбованість у спільноті щодо безпеки інтеграції сторонніх сервісів у криптоплатформи.

01 Огляд події: ризики активів через вразливість сторонніх сервісів

Крадіжка активів користувачів Polymarket не сталася через вразливість у основних смарт-контрактах платформи, а через безпекову уразливість стороннього сервісу автентифікації, на який вона покладалася.

У офіційному Discord-каналі платформи було заявлено: «Ми нещодавно виявили та виправили проблему безпеки, яка торкнулася кількох користувачів, і спричинена уразливістю стороннього сервісу автентифікації.»

Хоча платформа стверджує, що проблему вирішено і ризик для користувачів зменшено, конкретна кількість постраждалих та сума збитків залишаються невідомими, що породжує занепокоєння щодо масштабів і серйозності інциденту.

02 Процес атаки: відновлення типових випадків пошкоджень користувачів

За даними користувачів у соцмережах, ця безпекова подія має характерні ознаки.

Один з користувачів Reddit детально описав свій досвід: «Сьогодні вранці я отримав три повідомлення про спроби входу до Polymarket — мій пристрій не був зламаний, Google не виявив підозрілої активності, всі інші сервіси працювали нормально.»

Однак, коли він увійшов у Polymarket, знайшов, що всі позиції були закриті, а баланс залишився лише 0,01 долара США, що означає майже повне очищення гаманця.

Інший користувач повідомив схожу ситуацію, хоча він не натискав підозрілі посилання і активував двофакторну автентифікацію, проте все одно не зміг запобігти тому, щоб зловмисник після трьох спроб входу не очистив його рахунок.

03 Постраждала група: користувачі Magic Labs стають головною ціллю

Об’єднує постраждалих ця ознака: більшість з них реєструвалися у Polymarket через сервіс Magic Labs.

Magic Labs — сторонній сервіс входу, створений для новачків у криптовалютній сфері, який дозволяє входити за допомогою лише електронної пошти, а система автоматично генерує некастодіальний гаманець Ethereum. Такий підхід значно знижує бар’єр входу у криптосвіт, але водночас створює нові вектори атаки.

Зловмисники, ймовірно, здобули спосіб обійти механізми багатофакторної перевірки, не використовуючи фішинг або шкідливе програмне забезпечення для проникнення у пристрої користувачів. Це викликає серйозну стурбованість щодо можливості використання сторонніх сервісів автентифікації як єдиного вразливого пункту.

04 Реакція платформи: неясна інформація породжує додаткові сумніви

Polymarket у своїй реакції демонструє явну тенденцію до обмеження інформації, що породжує більше питань, ніж відповідей.

По-перше, платформа лише нечітко зазначила, що «кілька користувачів» постраждали, не надавши конкретних цифр або відсотків. По-друге, не було оприлюднено загальну суму викрадених коштів, що ускладнює оцінку серйозності інциденту. Третє, Polymarket не назвав конкретного стороннього сервісу, хоча спільнота здогадується, що йдеться про Magic Labs.

Що стосується технічних деталей, платформа стверджує, що проблему «вирішено», але не пояснює, які саме заходи були вжиті.

Деякі учасники спільноти зазначили, що після інциденту Polymarket, ймовірно, збільшила довжину пароля з трьох до шести символів, але компанія не зробила офіційних заяв з цього приводу.

05 Безпекові уроки: системний ризик сторонніх інтеграцій

Це не перший випадок, коли Polymarket стикається з безпековими проблемами через сторонні сервіси. Ще у вересні 2024 року кілька користувачів, що входили через Google-аккаунти, повідомили про переказ своїх USDC на фішингові адреси.

Минулого місяця через фішингову кампанію у коментарях платформи було втрачено понад 500 000 доларів США. Ці події підкреслюють загальну проблему у криптосфері: навіть якщо основні смарт-контракти безпечні, залежність від сторонніх сервісів може стати слабким місцем безпеки.

Аналітики відзначають, що коли користувачі покладаються на системи автентифікації, які не контролюються безпосередньо основною платформою, інтеграційні системи особливо вразливі до атак.

06 Рекомендації користувачам: практичні поради щодо захисту активів

Для користувачів криптовалют ця подія є важливим уроком безпеки.

Найпростіша рекомендація — уникати використання сторонніх опцій входу, а натомість підключатися до платформи за допомогою власних приватних ключів. Хоча це ускладнює процес, але до моменту, коли платформа зможе гарантувати безпеку сторонніх інтеграцій, це залишається найкращим способом захисту активів.

Користувачам слід регулярно перевіряти активність на рахунках, активувати всі доступні функції безпеки та бути пильними щодо будь-яких підозрілих спроб входу. Диверсифікація зберігання активів і не зберігання всіх коштів на одному сервісі також є раціональною стратегією зниження ризиків.

З урахуванням планів Polymarket перейти на Polygon і запустити власну мережу Ethereum Layer 2, користувачам слід особливо уважно ставитися до безпеки активів під час перехідного періоду.

Майбутні перспективи

Станом на 25 грудня загальний обсяг торгів на Polymarket досяг 15,38 мільярдів доларів США, а кількість активних користувачів за місяць склала 419 309. Коли користувачі прокинулися і виявили, що їхні рахунки залишилися лише з 0,01 долара, ця подія перестала бути просто технічною несправністю і стала серйозним викликом для безпеки у криптоекосистемі.

Захист активів користувачів — основа роботи платформи Gate. У сучасних умовах, коли криптоіндустрія стикається з ускладненими викликами безпеки, Gate постійно вдосконалює свою інфраструктуру безпеки, пропонуючи багаторівневий захист активів користувачів.