MISTER X
Гуру проекта
Команда форума
Судья
Модератор
ПРОВЕРЕННЫЙ ПРОДАВЕЦ
Private Club
Координатор арбитражей
Главное:
- Polymarket подтвердила, что взлом аккаунтов произошел из-за уязвимости у стороннего поставщика аутентификации.
- Пользователи сообщали о списании средств после уведомлений о попытках входа без перехода по ссылкам.
- Компания не раскрыла число пострадавших и объем ущерба, но заявила, что проблема устранена.
Децентрализованная платформа прогнозов Polymarket подтвердила, что недавние взломы учетных записей пользователей были связаны с проблемой безопасности у стороннего поставщика услуг аутентификации. Сообщения о несанкционированном доступе начали массово появляться в начале недели на X и Reddit.
Пострадавшие пользователи сообщали о нескольких попытках входа в аккаунт, после которых их позиции закрывались, а баланс практически обнулялся, несмотря на отсутствие фишинговых переходов и наличие базовых мер защиты.
Что известно об уязвимости
По данным пользователей, инцидент в основном затронул тех, кто регистрировался в Polymarket через сервис Magic Labs. Этот провайдер позволяет входить по электронной почте и автоматически создавать некастодиальные Ethereum-кошельки, что особенно популярно среди новых пользователей.
Во вторник Polymarket признала проблему в официальном Discord-канале, заявив, что уязвимость возникла у стороннего сервиса аутентификации и уже устранена.
Компания не стала раскрывать название поставщика, число пострадавших аккаунтов и сумму украденных средств, но подчеркнула, что остаточных рисков не выявлено и с пострадавшими пользователями свяжутся напрямую.
Это не первый случай, когда Polymarket сталкивается с проблемами, связанными со сторонней аутентификацией. В сентябре 2024 года пользователи, входившие через учетные записи Google, сообщали о несанкционированных выводах средств, когда злоумышленники использовали прокси-вызовы функций для перевода USDC на фишинговые адреса.
Источник
