Cách xác thực bên thứ ba trở thành điểm yếu của các nền tảng crypto: tài liệu hướng dẫn từ Polymarket

Ngành công nghiệp ứng dụng phi tập trung phụ thuộc vào sự đơn giản trong việc tiếp cận của người mới bắt đầu. Để đạt được mục tiêu này, nhiều nền tảng tích hợp các nhà cung cấp xác thực và ví bên ngoài. Kiến trúc như vậy thúc đẩy quá trình đăng ký nhanh chóng, nhưng đồng thời tạo ra các vector tấn công mới. Các sự kiện gần đây trên Polymarket cho thấy rằng ngay cả một giao thức được bảo vệ cũng có thể gặp lỗ hổng ở cấp độ hệ điều hành truy cập.

Từ các sự cố trước đó đến khủng hoảng tháng 12: quy luật trong hệ thống

Polymarket không phải lần đầu gặp vấn đề về bảo mật ở cấp độ đăng nhập. Vào tháng 9 năm 2024, người dùng báo cáo về các giao dịch USDC không được phép thông qua khai thác xác thực Google. Kẻ tấn công đã sử dụng các cuộc gọi “proxy” để chuyển hướng tiền đến các địa chỉ lừa đảo. Lúc đó, nền tảng xem sự cố như một cuộc tấn công có mục tiêu vào dịch vụ xác thực bên thứ ba.

Tháng 11 năm 2025 mang đến một đợt sóng khác — các kẻ lừa đảo đã đăng các liên kết ngụy trang trong các bình luận trên nền tảng, hướng người dùng đến các trang giả mạo để chặn lấy dữ liệu email. Thiệt hại vượt quá $500,000. Điều này cho thấy một vấn đề hệ thống, không chỉ ảnh hưởng đến kỹ thuật mà còn đến các khía cạnh hành vi.

Vào ngày 24 tháng 12 năm 2025, Polymarket thông báo về một biện pháp bảo vệ mới, lần này liên quan đến xác thực bên thứ ba. Kẻ xấu đã thành công trong việc truy cập vào một số tài khoản bị giới hạn, sử dụng lỗ hổng trong dịch vụ đăng nhập. Công ty không tiết lộ nhà cung cấp cụ thể, nhưng người dùng trên Reddit và Discord đã chỉ ra Magic Labs là điểm đăng nhập phổ biến khi đăng ký.

Cơ chế tấn công: khi ví email trở thành mục tiêu

Người dùng Polymarket ngày càng thích đăng nhập qua “liên kết ma thuật” — liên kết duy nhất gửi qua email. Phương pháp này thu hút người mới, những người không muốn quản lý tiện ích mở rộng trình duyệt hoặc lưu seed phrase. Nhà cung cấp ví email tự động tạo ra ví Ethereum không giữ cổ phần ngay trong quá trình đăng ký.

Tuy nhiên, chuỗi bảo mật phụ thuộc vào nhà cung cấp ở nhiều giai đoạn quan trọng: xác thực đăng nhập, khôi phục truy cập và quản lý phiên. Nếu một trong các bước này bị xâm phạm, toàn bộ ví có thể bị đe dọa.

Những người bị ảnh hưởng mô tả việc mất số dư đột ngột mà không có dấu hiệu xác nhận rõ ràng. Một người dùng cho biết đã có ba lần cố gắng đăng nhập, sau đó số dư của họ giảm xuống còn $0,01. Người khác nói rằng xác thực hai yếu tố qua email cũng không ngăn được việc chuyển USDC trực tiếp đến các địa chỉ do kẻ xấu kiểm soát. Các vị trí trên nền tảng tự động đóng mà không có lệnh rõ ràng từ người dùng.

Rủi ro hệ thống của Web3: khi hợp đồng thông minh không phải là vấn đề chính

Sự kiện này chuyển trọng tâm từ bảo mật của giao thức sang bảo mật của các tích hợp. Polymarket chính thức xác nhận rằng giao thức chính vẫn an toàn. Vấn đề chỉ giới hạn trong lớp xác thực. Công ty tuyên bố rằng các bản vá đã được triển khai và các rủi ro hiện tại đã được khắc phục.

Tuy nhiên, điều này đặt ra câu hỏi sâu sắc về kiến trúc của Web3. Hầu hết các giải pháp onboarding dựa vào các điểm truy cập tập trung. Khi một nhà cung cấp xác thực có lỗ hổng, người dùng của nhiều ứng dụng phi tập trung cùng lúc sẽ gặp nguy hiểm. Kết quả là, các dịch vụ xác thực và quản lý ví bên thứ ba trở thành mắt xích quan trọng, thường là điểm yếu nhất.

Người dùng bắt đầu tích cực thảo luận về các lựa chọn thay thế. Một số chuyển sang kết nối trực tiếp ví cho các số dư lớn, tránh các nhà cung cấp trung gian. Những người khác chia sẻ địa chỉ ví của họ trong các chủ đề công khai để xác minh hoạt động của chúng.

Bài học tương lai cho hệ sinh thái

Polymarket chưa công bố phân tích kỹ thuật chi tiết về sự cố. Các câu hỏi về quy mô số tiền bị đánh cắp, số lượng người dùng bị ảnh hưởng và kế hoạch bồi thường vẫn còn bỏ ngỏ. Thiếu minh bạch này làm tăng sự không chắc chắn trên thị trường.

Tuy nhiên, sự cố này soi sáng một vấn đề lớn hơn. Trong hệ sinh thái crypto, onboarding thường bị xem nhẹ, còn sự chú ý tập trung vào hợp đồng thông minh và giao thức. Nhưng chính các điểm truy cập — nơi người dùng tiếp xúc với các dịch vụ phi tập trung — lại là các điểm dễ tổn thương. Nếu không đánh giá lại vai trò của các nhà cung cấp bên thứ ba và nâng cao tiêu chuẩn an ninh của họ, các sự cố tương tự sẽ có xu hướng lặp lại.