Problème de sécurité chez Polymarket
La société Polymarket a récemment déclaré qu’un problème de sécurité avait affecté un nombre limité d’utilisateurs, mais qu’il avait depuis été entièrement résolu. La plateforme a précisé qu’elle contactait directement les utilisateurs concernés et a expliqué que la faille ne provenait pas de son infrastructure principale.
Vulnérabilité liée à un fournisseur tiers
Polymarket a confirmé qu’une récente vague de violations de comptes utilisateurs était due à une vulnérabilité liée à un fournisseur d’authentification tiers, suite à plusieurs rapports d’activités suspectes et de soldes drainés sur différentes plateformes de médias sociaux. Dans une déclaration partagée sur son canal Discord mardi, Polymarket a indiqué avoir identifié et résolu un problème de sécurité qui a touché un « petit nombre d’utilisateurs« . Selon la plateforme, la faille provenait d’un outil de connexion tiers plutôt que de son infrastructure principale.
Réactions des utilisateurs
La société a affirmé que le problème était désormais entièrement résolu, qu’il n’y avait aucun risque en cours et que les utilisateurs concernés seraient contactés directement. Cette divulgation est survenue après que des utilisateurs sur Reddit et X ont signalé un accès non autorisé à leurs comptes, certains affirmant que leurs soldes avaient été complètement drainés. Plusieurs utilisateurs ont décrit avoir constaté des tentatives de connexion échouées ou suspectes avant que leurs positions ne soient fermées et que des fonds soient retirés.
Un utilisateur de Reddit a rapporté avoir remarqué trois tentatives de connexion pendant la nuit, malgré l’absence de signes de compromission sur son appareil et son compte Google, pour découvrir plus tard que son solde Polymarket était tombé à seulement 0,01 $.
Les spéculations autour de la source de la vulnérabilité se sont rapidement répandues en ligne, certains utilisateurs suggérant qu’elle pourrait être liée à Magic Labs, un service de portefeuille et d’authentification intégré à Polymarket. Un utilisateur de X a affirmé que son portefeuille Polymarket, créé via Magic Labs, avait été drainé malgré le fait qu’il ne se soit jamais inscrit par e-mail ou n’ait reçu de liens de phishing.
Préoccupations persistantes
Polymarket n’a pas confirmé publiquement quel fournisseur d’authentification était responsable de cette faille. Ce n’est pas la première fois que les utilisateurs de Polymarket sont confrontés à des préoccupations de sécurité concernant leurs comptes. Fin 2024, certains utilisateurs avaient signalé avoir perdu des fonds après s’être connectés à la plateforme via l’authentification de compte Google, soulevant ainsi des questions sur les risques associés aux intégrations de connexion tierces.
Bien que Polymarket ait expliqué que la vulnérabilité a été corrigée et que les fonds des utilisateurs sont désormais en sécurité, cet incident a ravivé le débat sur les méthodes d’authentification utilisées par les plateformes de cryptomonnaie et de marché de prédiction.
