Обліковий запис Polymarket під загрозою: ризик стороннього входу в систему

Джерело: CryptoTale Оригінальна назва: Рахунок Polymarket зливає ризик стороннього входу в Spotlight Оригінальне посилання: https://cryptotale.org/polymarket-account-drains-spotlight-third-party-login-risk/

• Злом облікового запису користувача Polymarket прослідковується до сторонньої автентифікації, а не до вразливостей протоколу.
• Вхід у гаманці через електронну пошту дозволив зливи рахунків без експлуатації смарт-контрактів.
• Інцидент підкреслює системний ризик Web3, оскільки служби сторонньої автентифікації стають точками відмови.

Polymarket повідомив, що зловмисники злили обмежену кількість облікових записів користувачів після використання вразливості у сторонній службі входу. Користувачі описали раптову втрату балансу та закриття позицій після кількох сповіщень про вхід. Polymarket підтвердив інцидент 24 грудня 2025 року та повідомив, що виправив проблему.

Звіти з’явилися 22 та 23 грудня 2025 року у соціальних мережах. Один користувач повідомив про три спроби входу, після яких баланс став $0.01. Інший користувач повідомив про подібні сповіщення та зазначив, що двофакторна автентифікація через електронну пошту не зупинила злив.

Стороння автентифікація робить процес входу спільною слабкою ланкою

Polymarket повідомив, що вразливість була введена стороннім провайдером автентифікації. Компанія опублікувала у своєму офіційному Discord-каналі, що ідентифікувала проблему та вирішила її. Polymarket описав інцидент як вплив на невелику кількість користувачів.

Polymarket не назвав стороннього провайдера та не розкрив загальну суму викраденого. Однак платформа зазначила, що її основний протокол залишився безпечним, а проблема обмежувалася автентифікацією. Також повідомили, що виправлення усунуло постійний ризик і що вони зв’яжуться з постраждалими користувачами.

Це формулювання відводить увагу від механіки ринку і зосереджує її на стеку криптовалютної автентифікації. Багато платформ залежать від зовнішніх сервісів ідентифікації, гаманців і входу для швидшої реєстрації. Відтак, слабкість одного провайдера може поставити під загрозу користувачів у кількох додатках.

Вхід у гаманці через електронну пошту підвищує ризики через вбудований доступ до гаманця

Пости користувачів свідчать, що багато постраждалих облікових записів використовували доступ через “магічне посилання” на електронну пошту замість прямого підключення гаманця. Декілька повідомлень вказували на Magic Labs як на поширений маршрут реєстрації, хоча Polymarket не підтвердив цю зв’язку. Користувачі також зазначили, що не натискали підозрілі посилання перед зливами.

Провайдери гаманців через електронну пошту часто створюють некастодіальні гаманці Ethereum під час реєстрації. Це залучає новачків у криптовалюту, які не керують розширеннями або мнемонічними фразами. Однак провайдер все ще контролює ключові елементи процесу входу та відновлення.

Користувачі Polymarket описали, що баланси USDC зливалися без чітких сигналів підтвердження. У звітах також зазначалося, що позиції швидко закривалися після несанкціонованого доступу. Це підкреслює, що безпека облікового запису може провалитися вище рівня смарт-контракту.

Попередні інциденти Polymarket демонструють напруження на рівні доступу

Цей злом нагадує раніше повідомлення користувачів із вересня 2024 року, що стосувалися входу через Google. Користувачі описували зливи гаманців, коли зловмисники використовували функції “проксі” викликів. Ці виклики переводили кошти USDC на фішингові адреси, згідно з обліковими записами користувачів.

На той час Polymarket розглядав ці події як потенційно цілеспрямовані експлойти, пов’язані з сторонньою автентифікацією. Ця історія важлива, оскільки вона вказує на той самий структурний ризик. Системи автентифікації та сесій можуть стати високовпливовими цілями.

Окрема загроза виникла у листопаді 2025 року, коли шахраї використовували коментарі Polymarket. Користувачі повідомляли про втрати понад $500 000 після того, як зловмисники публікували маскувальні посилання. Ці посилання спрямовували жертв на шахрайські сторінки, що захоплювали логіни електронної пошти.

Інцидент грудня 2025 року знову зосереджений на ризику інтеграції, а не на збоях у розрахунках. Polymarket не опублікував технічний аналіз або повний хронологічний опис інциденту. Також не повідомляється, чи відшкодує платформа користувачам збитки.

Тим часом користувачі порівнювали методи входу та обмінювалися адресами гаманців у публічних потоках. Деякі користувачі перейшли до прямого підключення гаманця для більш високих балансів. Цей випадок підсилює ширше висновок щодо криптовалютної реєстрації: сторонні системи ідентифікації та гаманців тепер знаходяться на критичному шляху, і можуть стати найуразливішою точкою екосистеми.