Проблема безопасности в Polymarket
Компания Polymarket сообщила о проблеме, затронувшей ограниченное количество пользователей, и подтвердила, что она была полностью устранена. В своем заявлении компания отметила, что связывается с пострадавшими пользователями напрямую и уточнила, что ошибка не возникла из-за ее основной инфраструктуры.
Причины инцидента
Недавняя волна утечек учетных записей пользователей была вызвана уязвимостью, связанной с поставщиком аутентификации третьей стороны, после нескольких сообщений о подозрительной активности и исчерпанных балансах на различных платформах социальных сетей. В заявлении, опубликованном в их канале Discord во вторник, Polymarket сообщила, что выявила и устранила проблему безопасности, которая затронула «небольшое количество пользователей».
По данным платформы, ошибка возникла из-за инструмента входа третьей стороны, а не из-за основной инфраструктуры Polymarket. Компания подтвердила, что проблема была полностью устранена, риск отсутствует, и пострадавшие пользователи будут уведомлены напрямую.
Отчеты пользователей
Раскрытие информации произошло после того, как пользователи на Reddit и X сообщили о несанкционированном доступе к своим учетным записям, некоторые из них утверждали, что их балансы были полностью исчерпаны.
Несколько пользователей описали, что видели множество неудачных или подозрительных попыток входа перед тем, как их позиции были закрыты, а средства удалены. Один из пользователей Reddit сообщил, что заметил три попытки входа за ночь, несмотря на то, что его устройство и учетная запись Google не показывали признаков компрометации, и позже обнаружил, что его баланс в Polymarket упал до всего лишь $0.01.
Спекуляции о источнике уязвимости
Спекуляции о источнике уязвимости быстро распространились в сети, некоторые пользователи предположили, что это могло быть связано с Magic Labs, кошельком и сервисом аутентификации, интегрированным с Polymarket. Один из пользователей X утверждал, что его кошелек Polymarket, созданный через Magic Labs, был исчерпан, несмотря на то, что он никогда не регистрировался по электронной почте или не получал фишинговые ссылки.
Предыдущие инциденты
Polymarket не подтвердила публично, какой поставщик аутентификации был ответственен за инцидент. Это не первый случай, когда пользователи Polymarket сталкиваются с проблемами безопасности учетных записей. В конце 2024 года некоторые пользователи сообщили о потере средств после входа на платформу через аутентификацию учетной записи Google, что вызвало вопросы о рисках, связанных с интеграциями входа третьих сторон.
Заключение
Хотя Polymarket объяснила, что уязвимость была исправлена и средства пользователей теперь в безопасности, инцидент вновь привлек внимание к методам аутентификации, используемым платформами криптовалют и предсказательных рынков.
