Polymarket в канун Рождества столкнулся с кражей средств, уязвимость возникла из-за стороннего сервиса кошельков Magic Labs, что подчеркнуло риск единой точки отказа в удобстве Web3.
(Предыстория: Лидер рынка предсказаний Polymarket объявил о создании собственного L2, исчезла ли карта Polygon?)
(Дополнительная информация: как с помощью Polymarket арбитража добиться годовой доходности 40%?)
Лидер рынка предсказательных рынков Polymarket сообщил о краже средств, несколько пользователей в ночь с 24 декабря на 25 декабря в X и Reddit возмутились тем, что «баланс аккаунта был очищен».
Платформа сразу же признала наличие уязвимости в официальном Discord и указала на «стороннего поставщика услуг». Инструмент отслеживания цепочки Lookonchain затем заблокировал сервис кошельков Magic Labs, сделав этот инцидент одним из самых обсуждаемых уязвимостей в сфере Криптовалют в конце 2025 года.
Официальные представители заявили, что уязвимость устранена, но некоторые по-прежнему обеспокоены.
Менее чем через час после жалоб пользователей Polymarket выпустил объявление:
Мы обнаружили уязвимость, связанную со сторонним поставщиком услуг, и уже исправили её. Пострадавшие пользователи составляют очень малую часть, и мы свяжемся с ними напрямую.
В объявлении не указана сумма потерь и число пострадавших, что вызвало ещё большую паніку. Согласно ежемесячному объему сделок платформы Polymarket в 2025 году, который оценивается в десятки миллиардов долларов, даже «очень малая часть» может означать значительные потери.
В отличие от обычных фишинговых атак, в момент инцидента не распространялись подозрительные ссылки, многие пострадавшие даже активировали двухфакторную аутентификацию по электронной почте. Ключ к обходу защиты заключался не в клиенте, а в сторонней системе аутентификации на бекенде.
Уязвимость в системе входа Magic Labs
Для снижения порога входа Polymarket внедрил «Email-одним кликом для генерации некастомных кошельков» от Magic Labs. Пользователи не обязаны хранить мнемоническую фразу, достаточно отправить код подтверждения для управления активами Ethereum. Однако злоумышленники использовали уязвимость системы аутентификации Magic Labs для получения контроля над кошельками, делая двухфакторную аутентификацию бесполезной.
На цепочке видно, что злоумышленники в короткое время разделили активы и через многоуровневое смешивание увеличили сложность отслеживания. Официальные представители заявили, что «уязвимость уже устранена», но пока не предоставили полный отчет о случившемся по требованию сообщества.
В то же время компания по безопасности SlowMist предупредила о появлении на GitHub вредоносных ботов Polymarket, предназначенных для автоматического копирования сделок, специально для опытных игроков, использующих собственные торговые скрипты. Эти программы читают локальные конфигурационные файлы и тайно передают приватные ключи, хотя напрямую связаны с уязвимостью Magic Labs, но были обнаружены в тот же день.
Отказ от ответственности: Информация на этой странице может поступать от третьих лиц и не отражает взгляды или мнения Gate. Содержание, представленное на этой странице, предназначено исключительно для справки и не является финансовой, инвестиционной или юридической консультацией. Gate не гарантирует точность или полноту информации и не несет ответственности за любые убытки, возникшие от использования этой информации. Инвестиции в виртуальные активы несут высокие риски и подвержены значительной ценовой волатильности. Вы можете потерять весь инвестированный капитал. Пожалуйста, полностью понимайте соответствующие риски и принимайте разумные решения, исходя из собственного финансового положения и толерантности к риску. Для получения подробностей, пожалуйста, обратитесь к
Отказу от ответственности.
