Polymarket mengesahkan akaun pengguna yang dilanggar melalui kelemahan pengesahan pihak ketiga

Polymarket baru-baru ini mengesahkan bahawa beberapa penggunanya terjejas oleh pelanggaran keselamatan, yang dikatakan disebabkan oleh kelemahan dalam perkhidmatan pengesahan pihak ketiga.

Pasukan Polymarket secara rasmi telah mengakui kejadian yang telah dilaporkan oleh beberapa pengguna sepanjang minggu lalu, mencetuskan kebimbangan baharu tentang keselamatan akaun.

Pengguna Polymarket melaporkan percubaan log masuk yang mencurigakan

Laporan awal aktiviti yang mencurigakan mula muncul pada awal minggu ini, di mana berbilang pengguna Polymarket dilihat memperincikan akaun kerugian mereka merentas platform seperti X dan Reddit.

Menurut seorang pengguna yang menggunakan nama pengguna Sandwich_1337, akaun mereka telah dikeringkan tanpa sebarang bendera merah utama dari pihak mereka.

"Hari ini saya bangun dan melihat 3 percubaan untuk log masuk ke polymarket. Peranti saya tidak terjejas, google tidak menemui apa-apa yang mencurigakan, semua perkhidmatan lain baik-baik saja," tulis pengguna itu.

Dalam komen, seorang lagi pengguna Reddit melaporkan pengalaman serupa di mana mereka menerima beberapa pemberitahuan percubaan log masuk, selepas itu baki akaun mereka dikosongkan.

"Saya bukan bro kripto yang mengklik pautan airdrop atau menyambungkan dompet saya ke tapak rawak. Saya tidak log masuk ke Polymarket selama dua bulan [...] Keselamatan e-mel saya dikunci. Saya mempunyai 2FA pada akaun e-mel saya yang memerlukan pengesahan fizikal pada telefon saya untuk membenarkan log masuk baharu. Adalah mustahil untuk mengakses e-mel saya tanpa peranti fizikal saya, yang berada di dalam poket saya sepanjang hari," tulis pengguna itu.

Sementara itu, sesetengah pengguna di media sosial membuat spekulasi bahawa pelanggaran itu mungkin menjejaskan subset pengguna yang telah mendaftar untuk platform melalui Magic Labs, perkhidmatan yang membenarkan akses berasaskan e-mel dan menjana dompet Ethereum bukan kustodian secara automatik.

Walaupun Polymarket mengakui isu itu di saluran Discord rasminya, ia berkata kejadian itu dikaitkan dengan "penyedia pengesahan pihak ketiga."

Walau bagaimanapun, ia tidak memberikan sebarang maklumat tambahan selain daripada fakta bahawa kejadian itu hanya menjejaskan "sebilangan kecil pengguna."

Selanjutnya, ia tidak mendedahkan tahap kerosakan kewangan yang disebabkan oleh kejadian itu dan menyatakan bahawa isu itu telah diselesaikan, sambil menambah bahawa tiada risiko lain yang kekal.

"Kami akan berhubung dengan pengguna yang terjejas," tambah Polymarket.

Butiran mengenai langkah seterusnya untuk pengguna yang terjejas tidak tersedia pada masa penulisan.

Bukan kali pertama

Ini bukan kali pertama pengguna Polymarket menjadi sasaran insiden berkaitan keselamatan.

Tahun lepas, pada bulan Ogos, berbilang pengguna melaporkan bahawa baki USDC mereka telah dikeringkan sejurus selepas log masuk melalui akaun Google mereka.

Penyerang dilaporkan mengeksploitasi panggilan fungsi "proksi" untuk menyedut dana ke alamat pancingan data berulang, menyasarkan mereka yang menggunakan SDK Magic Labs.

Sokongan Polymarket mengesahkan sekurang-kurangnya lima serangan sedemikian menjelang akhir September.

Baru-baru ini, pada bulan November, operasi pancingan data utama berlaku apabila penggodam mengeksploitasi bahagian komen Polymarket untuk menyiarkan pautan pancingan data yang menolak skrip berniat jahat ke peranti pengguna setelah diklik.

Kerugian, pada masa itu, dianggarkan melebihi $500,000.