- Взлом пользовательских аккаунтов Polymarket был отслежен до сторонней аутентификации, а не из-за уязвимостей протокола.
- Регистрация кошелька по электронной почте позволила выводить средства с аккаунтов без взлома смарт-контрактов.
- Инцидент подчеркивает системный риск Web3, поскольку сторонние сервисы входа становятся точками отказа.
Polymarket сообщил, что злоумышленники вывели средства с ограниченного числа пользовательских аккаунтов, воспользовавшись уязвимостью в стороннем сервисе входа. Пользователи описывали внезапные потери баланса и закрытие позиций после нескольких попыток входа. Polymarket подтвердил инцидент 24 декабря 2025 года и заявил, что проблема была устранена.
Сообщения появились 22 и 23 декабря 2025 года на X, Reddit и Discord. Один из пользователей Reddit сообщил о трех попытках входа, после чего баланс составил $0.01. Другой пользователь сообщил о похожих попытках и отметил, что двухфакторная аутентификация по электронной почте не остановила вывод средств.
Сторонняя аутентификация делает процесс регистрации общей уязвимостью
Polymarket сообщил, что уязвимость была вызвана сторонним провайдером аутентификации. Компания опубликовала в своем официальном канале Discord, что выявила и устранила проблему. Polymarket описал инцидент как затронувший небольшое количество пользователей.
Polymarket не назвал стороннего провайдера и не раскрыл общую сумму украденных средств. Однако платформа заявила, что ее основной протокол остался в безопасности, а проблема ограничилась только аутентификацией. Также было отмечено, что устранение уязвимости исключило дальнейший риск, и компания свяжется с пострадавшими пользователями.
Такой подход смещает внимание с рыночных механизмов на инфраструктуру регистрации в крипто. Многие платформы зависят от внешних сервисов идентификации, кошельков и входа для ускорения регистрации. В результате слабое место у одного провайдера может подвергнуть риску пользователей сразу в нескольких приложениях.
Входы в кошелек по электронной почте увеличивают риски доступа к встроенным кошелькам
Посты пользователей указывали, что многие затронутые аккаунты использовали доступ по “магической ссылке” на электронную почту вместо прямого подключения кошелька. Несколько сообщений указывали на Magic Labs как на распространенный способ регистрации, хотя Polymarket не подтвердил эту связь. Пользователи также отмечали, что не переходили по подозрительным ссылкам до вывода средств.
Провайдеры кошельков на основе электронной почты часто создают некастодиальные Ethereum-кошельки при регистрации. Такой подход привлекает новых крипто пользователей, которые не используют расширения или seed-фразы. Однако провайдер по-прежнему контролирует ключевые этапы входа и восстановления доступа.
Пользователи Polymarket описывали вывод баланса в USDC без явных сигналов одобрения. В отчетах также говорилось о быстром закрытии позиций после несанкционированного доступа. В результате инцидент подчеркивает, что безопасность аккаунта может быть нарушена выше уровня смарт-контракта.
Связано: Polymarket лидирует среди крипто-протоколов по уровню удержания пользователей
Прошлые инциденты Polymarket показывают уязвимость слоя доступа
Этот взлом напоминает более ранние сообщения пользователей от сентября 2024 года, связанные с входом через Google. Пользователи описывали вывод средств из кошелька, когда злоумышленники использовали вызовы функции “proxy”. По словам пользователей, эти вызовы переводили средства в USDC на фишинговые адреса.
Polymarket тогда рассматривал эти события как потенциально целевые атаки, связанные со сторонней аутентификацией. Эта история важна, поскольку указывает на ту же структурную уязвимость. Системы аутентификации и сессий могут стать высокоэффективными целями для атак.
Отдельная угроза возникла в ноябре 2025 года, когда мошенники использовали разделы комментариев Polymarket. Пользователи сообщили об убытках, превышающих $500,000, после того как злоумышленники размещали замаскированные ссылки. Эти ссылки перенаправляли жертв на мошеннические страницы, где перехватывались логины по электронной почте.
Инцидент декабря 2025 года вновь акцентирует внимание на рисках интеграции, а не на сбоях расчетов. Polymarket не опубликовал технический разбор инцидента или полную хронологию событий. Также не сообщалось, будет ли компания компенсировать убытки пользователям.
Тем временем пользователи сравнивали методы входа и делились адресами кошельков в публичных обсуждениях. Некоторые перешли на прямое подключение кошелька для хранения крупных сумм. Этот случай подтверждает более широкий вывод для крипто-онбординга: сторонние сервисы идентификации и кошельков теперь являются критически важным звеном, а значит, могут стать самой уязвимой точкой экосистемы.
