Компанія Polymarket підтвердила, що нещодавня хвиля вичерпання гаманців, яка вплинула на облікові записи користувачів, була спричинена вразливістю безпеки, пов’язаною зі стороннім постачальником автентифікації, після кількох днів скарг від користувачів, які стверджували, що їхні баланси були спустошені після незрозумілих спроб входу.
Платформа децентралізованого ринку прогнозів заявила, що проблему вирішено та що поточного ризику немає, хоча вона не розкриває, скільки користувачів постраждало або загальну вартість втрачених коштів.
Електронні адреси для входу, порожні облікові записи: користувачі Polymarket описують раптові втрати коштів
Повідомлення про підозрілу активність почали поширюватися на початку цього тижня на X і Reddit, де кілька користувачів описали, що отримували численні сповіщення електронною поштою про вхід, незважаючи на те, що вони не намагалися отримати доступ до своїх облікових записів.
У кількох випадках користувачі стверджували, що через кілька годин увійшли в систему та виявили, що їхні позиції закриті, а баланс майже нульовий.
Один користувач Reddit написав що три спроби входу були помічені, а їхні електронні та інші онлайн-акаунти не виявили жодних ознак компрометації, додавши, що їхні кошти Polymarket були злиті в той самий час, коли були надіслані електронні листи для входу.
Інший користувач надав детальний звіт, який припускає, що порушення могло бути пов’язане зі слабкими місцями в системі одноразових паролів платформи під час інциденту.
За словами користувача, коди входу складалися лише з трьох цифр і могли бути вразливими до спроб грубої сили. Користувач зазначив, що незабаром після інциденту Polymarket збільшив довжину OTP до шести цифр, хоча компанія публічно не прокоментувала цю конкретну заяву.
Звіти користувачів вказують на те, що постраждалі облікові записи спільне. Деякі сказали, що зареєструвалися через Magic Labs, популярну службу адаптації, яка дозволяє користувачам входити в систему за допомогою адрес електронної пошти та автоматично створює гаманці Ethereum, які не є кастодіальними.
Magic Labs широко використовується новими користувачами криптовалюти, які ще не керують своїми власними гаманцями.
Хоча Polymarket не назвав задіяного постачальника автентифікації, він визнав у повідомленні, опублікованому на його офіційному каналі Discord, що вразливість походить від стороннього сервісу.
Платформа заявила, що зв’яжеться з постраждалими користувачами напряму, але не надала подробиць щодо відшкодування чи варіантів відновлення.
Зломи третіх сторін продовжують переслідувати криптоплатформи
Цей інцидент – не перший випадок, коли Polymarket стикається з проблемами безпеки, пов’язаними із зовнішніми службами.
У вересні 2024 року користувачі, які зайшли через облікові записи Google повідомили зливання гаманця, пов’язане з неавторизованими транзакціями через проксі, які переміщували кошти USDC на фішингові адреси.
У той час Polymarket досліджував події як потенційно цільові експлойти, пов’язані зі сторонніми інструментами автентифікації.
Нещодавно фішингова кампанія, яка зловживала розділами коментарів платформи, призвела до збитків на суму понад 500 000 доларів США після того, як користувачів перенаправляли на підроблені сторінки входу.
Порушення сталося на тлі ширшого зростання кількості збоїв безпеки сторонніх розробників у секторах криптовалют і технологій. цього тижня, Компанія Koinly, яка займається програмним забезпеченням для криптовалютного оподаткування, попередила користувачів що адреси електронної пошти могли бути розкриті після зламу в Mixpanel, постачальника аналітики, який він раніше використовував.
@KoinlyOfficial попереджає, що порушення третьою стороною могло стати причиною розкриття електронних листів користувачів, але наголошує, що жодні дані про гаманець, транзакції, податки чи портфоліо не надсилалися Mixpanel.#Криптозахист #КриптоПодаток #Койнліhttps://t.co/ASDxMchfyg
— Cryptonews.com (@cryptonews) 23 грудня 2025 р
Koinly повідомила, що жодна фінансова/податкова інформація не була зламана і що вона більше не використовує цей сервіс.
в іншому місці, Швейцарська криптоплатформа SwissBorg опублікувала звіт збитків у 41 мільйон на початку цього року внаслідок зламу постачальника API зловмисниками, а також Розбрат і ряд протоколів DeFi також повідомляли про атаки, пов’язані із зовнішніми постачальниками.
SwissBorg досяг $41,5 млн $SOL злам після компрометації API на тлі каскаду збоїв криптозахисту, включаючи експлойти Nemo та Aqua.#CryptoHack #Соланаhttps://t.co/ztUl2s0yxv
— Cryptonews.com (@cryptonews) 8 вересня 2025 р
Дослідники безпеки постійно попереджають, що використання інфраструктури сторонніх розробників може збільшити кількість атак, особливо із зростанням криптоплатформ.
Пост Злом Polymarket: уразливість третьої сторони виснажує кошти користувачів вперше з’явився на Криптоновини.