Como a verificação de terceiros se torna o elo fraco das plataformas de criptomoedas: material educativo da Polymarket

Сектор децентрализираних приложений зависи от простотата на входа за новаците. За постигане на тази цел много платформи интегрират външни доставчици на удостоверяване и портфейли. Такава архитектура ускорява регистрацията, но същевременно създава нови вектори за атака. Последните събития на Polymarket демонстрират как дори защитен протокол може да има уязвимости на ниво операционни системи за достъп.

От предишни инциденти до декемврийската криза: закономерност в системата

Polymarket не е първият път, когато се сблъсква с проблеми със сигурността на ниво вход. През септември 2024 г. потребители съобщиха за неоторизирани преводи на USDC чрез експлоатация на Google-аутентикация. Злонамерени лица използваха извиквания на функции “proxy” за пренасочване на средства към фишинг адреси. Тогава платформата разглеждаше инцидента като целенасочена атака срещу трета страна на системата за верификация.

Ноември 2025 г. донесе още една вълна — измамници поставяха маскирани линкове в коментари в платформата, насочвайки потребители към фалшиви страници за прихващане на имейл данни. Загубите надхвърлиха $500,000. Това сочеше към системна проблематика, която се разпространяваше не само върху техниката, но и върху поведението.

На 24 декември 2025 г. Polymarket обяви за ново обезпечаване, което отново засяга трета страна на удостоверяването. Злонамерени лица успяха да получат достъп до ограничен брой акаунти, използвайки уязвимост в системата за вход. Компанията не посочи конкретен доставчик, но потребители в Reddit и Discord посочваха Magic Labs като често използван вход при регистрация.

Механика на атаката: когато имейл портфейлите стават цел

Потребителите на Polymarket все по-често избират вход чрез “magic link” — уникална връзка, изпратена по имейл. Този метод привлича новаците, които не искат да управляват разширения за браузър или да съхраняват seed-фрази. Доставчикът на имейл портфейли създава некастодилен Ethereum портфейл автоматично при регистрация.

Обаче веригата за сигурност зависи от доставчика на няколко критични етапа: верификация при вход, възстановяване на достъпа и управление на сесиите. Ако един от тези етапи бъде компрометиран, целият портфейл е изложен на риск.

Пострадалите потребители описваха внезапни загуби на баланс без видими сигнали за потвърждение. Един потребител съобщи за три опита за вход, след което балансът му падна до $0,01. Друг посочи, че двуфакторната автентикация чрез имейл също не спря директното прехвърляне на USDC към адреси, контролирани от злонамерени лица. Позициите на платформата се затваряха автоматично без явна команда от потребителя.

Системен риск за Web3: когато смарт контрактите — не са основният проблем

Това събитие пренасочва фокуса от сигурността на протокола към сигурността на интеграциите. Polymarket официално потвърди, че основният протокол остава защитен. Проблемът се ограничаваше до стек за удостоверяване. Компанията заяви, че корекциите вече са внедрени, а текущите рискове са отстранени.

Обаче това поражда дълбоки въпроси за архитектурата на Web3. Повечето решения за onboarding разчитат на централизирани точки за вход. Когато един доставчик на удостоверяване има уязвимост, потребителите на множество децентрализирани приложения са изложени на риск едновременно. В резултат, трети страни за верификация и управление на портфейли стават критична връзка, която често се оказва най-слабата.

Потребителите започнаха активно да обсъждат алтернативи. Някои преминават към директно свързване на портфейли за големи баланси, избягвайки междинни доставчици. Други споделят в публични тредове адресите на своите портфейли за текуща верификация на активността им.

Бъдещи уроци за екосистемата

Polymarket не публикува подробен технически анализ на инцидента. Остават неизвестни въпроси относно обема на откраднатите средства, броя на пострадалите потребители и плановете за компенсации. Тази липса на прозрачност увеличава несигурността на пазара.

Инцидентът обаче хвърля светлина върху по-широк проблем. В крипто-екосистемата onboarding често се счита за второстепенен, а фокусът е върху смарт контрактите и протоколите. Но именно точките за вход — местата, където обикновените потребители взаимодействат с децентрализирани услуги — са уязвими центрове. Без преоценка на ролята на трети страни доставчици и засилване на техните стандарти за сигурност, подобни инциденти ще продължат да се повтарят.