- Włamanie na konta użytkowników Polymarket zostało prześledzone do uwierzytelniania stron trzecich, a nie do błędów w protokole.
- Onboarding portfela oparty na e-mailu umożliwił opróżnianie kont bez wykorzystania luk w smart kontraktach.
- Incydent podkreśla systemowe ryzyko Web3, ponieważ usługi logowania stron trzecich stają się punktami awarii.
Polymarket poinformował, że atakujący opróżnili ograniczoną liczbę kont użytkowników po wykorzystaniu luki w usłudze logowania strony trzeciej. Użytkownicy opisywali nagłe utraty salda i zamknięte pozycje po wielokrotnych logowaniach. Polymarket potwierdził incydent 24 grudnia 2025 roku i poinformował, że problem został naprawiony.
Doniesienia pojawiły się 22 i 23 grudnia 2025 roku na X, Reddit i Discordzie. Jeden z użytkowników Reddita zgłosił trzy próby logowania, po których saldo wynosiło $0.01. Inny użytkownik zgłosił podobne sytuacje i powiedział, że dwuskładnikowe uwierzytelnianie e-mailowe nie powstrzymało opróżnienia konta.
Uwierzytelnianie stron trzecich czyni onboarding wspólnym słabym punktem
Polymarket poinformował, że dostawca uwierzytelniania strony trzeciej wprowadził podatność. Firma zamieściła na swoim oficjalnym kanale Discord informację, że zidentyfikowała problem i go rozwiązała. Polymarket opisał incydent jako dotyczący niewielkiej liczby użytkowników.
Polymarket nie podał nazwy dostawcy strony trzeciej ani nie ujawnił łącznej skradzionej kwoty. Platforma poinformowała jednak, że jej główny protokół pozostał bezpieczny, a problem ograniczał się do uwierzytelniania. Dodano również, że naprawa usunęła bieżące ryzyko i że skontaktuje się z poszkodowanymi użytkownikami.
Takie przedstawienie sprawy odwraca uwagę od mechaniki rynku i kieruje ją na warstwę onboardingową krypto. Wiele platform polega na zewnętrznych usługach tożsamości, portfela i logowania, aby przyspieszyć rejestracje. W rezultacie słabość jednego dostawcy może narazić użytkowników wielu aplikacji.
Logowanie do portfela przez e-mail zwiększa ryzyko związane z dostępem do wbudowanych portfeli
Posty użytkowników sugerowały, że wiele dotkniętych kont korzystało z dostępu opartego na „magicznym linku” e-mailowym zamiast bezpośrednich połączeń z portfelem. Kilka raportów wskazywało na Magic Labs jako popularną ścieżkę rejestracji, choć Polymarket nie potwierdził tego powiązania. Użytkownicy twierdzili również, że nie klikali podejrzanych linków przed opróżnieniem kont.
Dostawcy portfeli opartych na e-mailu często tworzą niepowiernicze portfele Ethereum podczas rejestracji. To rozwiązanie przyciąga początkujących użytkowników krypto, którzy nie zarządzają rozszerzeniami ani frazami seed. Jednak dostawca nadal kontroluje kluczowe elementy procesu logowania i odzyskiwania.
Użytkownicy Polymarket opisywali opróżnianie sald USDC bez wyraźnych sygnałów zatwierdzenia. Raporty opisywały także szybkie zamykanie pozycji po nieautoryzowanym dostępie. W rezultacie incydent podkreśla, jak bezpieczeństwo konta może zawieść powyżej warstwy smart kontraktów.
Powiązane: Polymarket prowadzi wśród protokołów krypto pod względem wskaźnika retencji użytkowników
Poprzednie incydenty Polymarket pokazują obciążenie warstwy dostępu
To naruszenie przypomina wcześniejsze zgłoszenia użytkowników z września 2024 roku dotyczące logowań przez Google. Użytkownicy opisywali opróżnianie portfeli, gdzie atakujący używali wywołań funkcji „proxy”. Według relacji użytkowników, te wywołania przenosiły środki USDC na adresy phishingowe.
Polymarket traktował wówczas te wydarzenia jako potencjalnie ukierunkowane ataki powiązane z uwierzytelnianiem stron trzecich. Ta historia jest istotna, ponieważ wskazuje na to samo strukturalne ryzyko. Systemy uwierzytelniania i sesji mogą stać się celami o dużym wpływie.
Oddzielne zagrożenie pojawiło się w listopadzie 2025 roku, gdy oszuści wykorzystali sekcje komentarzy Polymarket. Użytkownicy zgłosili straty przekraczające $500,000 po tym, jak atakujący zamieścili zamaskowane linki. Linki te kierowały ofiary na fałszywe strony, które przechwytywały loginy e-mailowe.
Incydent z grudnia 2025 roku ponownie koncentruje się na ryzyku integracji, a nie na błędach rozliczeniowych. Polymarket nie opublikował technicznej analizy po incydencie ani pełnej osi czasu zdarzeń. Nie poinformowano również, czy użytkownicy otrzymają zwrot utraconych środków.
W międzyczasie użytkownicy porównywali metody logowania i udostępniali adresy portfeli w publicznych wątkach. Niektórzy użytkownicy przeszli na bezpośrednie połączenia z portfelem dla wyższych sald. Ten przypadek wzmacnia szerszy wniosek dotyczący onboardingu krypto: zewnętrzne systemy tożsamości i portfeli są teraz na krytycznej ścieżce, więc mogą stać się najbardziej wrażliwym punktem ekosystemu.
