- Злам акаунтів користувачів Polymarket відстежено до сторонньої автентифікації, а не до недоліків протоколу.
- Реєстрація гаманців через електронну пошту дозволила зливати акаунти без експлойтів смарт-контрактів.
- Інцидент підкреслює системний ризик Web3, оскільки сторонні сервіси входу стають точками відмови.
Polymarket повідомила, що зловмисники злили обмежену кількість акаунтів користувачів після використання вразливості у сторонньому сервісі входу. Користувачі описували раптову втрату балансу та закриття позицій після кількох входів. Polymarket підтвердила інцидент 24 грудня 2025 року та заявила, що проблему усунуто.
Повідомлення з’явилися 22 та 23 грудня 2025 року на X, Reddit та Discord. Один користувач Reddit повідомив про три спроби входу, після чого баланс становив $0,01. Інший користувач повідомив про схожі випадки та зазначив, що двофакторна автентифікація через електронну пошту не зупинила злив коштів.
Стороння автентифікація робить онбординг спільною слабкою ланкою
Polymarket повідомила, що вразливість була внесена стороннім провайдером автентифікації. Компанія написала у своєму офіційному каналі Discord, що ідентифікувала проблему та вирішила її. Polymarket описала інцидент як такий, що вплинув на невелику кількість користувачів.
Polymarket не назвала стороннього провайдера і не розкрила загальну суму викрадених коштів. Однак платформа заявила, що її основний протокол залишився захищеним, а проблема була обмежена автентифікацією. Також повідомляється, що виправлення усунуло поточний ризик, і компанія зв’яжеться з постраждалими користувачами.
Такий підхід відволікає увагу від ринкової механіки та спрямовує її на стек онбордингу у крипто. Багато платформ залежать від зовнішніх сервісів ідентифікації, гаманців та входу для пришвидшення реєстрації. Відповідно, слабкість одного провайдера може наражати на ризик користувачів у багатьох додатках.
Входи через email-гаманець підвищують ризики доступу до вбудованих гаманців
Пости користувачів свідчать, що багато постраждалих акаунтів використовували доступ через “magic link” на основі електронної пошти замість прямого підключення гаманця. Декілька повідомлень вказували на Magic Labs як на поширений спосіб реєстрації, хоча Polymarket не підтвердила цей зв’язок. Користувачі також зазначили, що не переходили за підозрілими посиланнями перед зливом коштів.
Провайдери email-гаманців часто створюють некостодіальні Ethereum-гаманці під час реєстрації. Такий підхід приваблює новачків у крипто, які не керують розширеннями чи seed-фразами. Однак провайдер все одно контролює ключові етапи входу та відновлення доступу.
Користувачі Polymarket описували зливи USDC без явних сигналів підтвердження. Також повідомлялося про швидке закриття позицій після несанкціонованого доступу. В результаті інцидент підкреслює, як безпека акаунтів може бути порушена на рівні вище смарт-контракту.
Дивіться також: Polymarket лідирує серед крипто-протоколів за рівнем утримання користувачів
Попередні інциденти Polymarket демонструють напругу на рівні доступу
Цей злам нагадує попередні повідомлення користувачів з вересня 2024 року, пов’язані з входом через Google. Користувачі описували зливи гаманців, коли зловмисники використовували виклики функцій “proxy”. За словами користувачів, ці виклики переводили USDC на фішингові адреси.
Polymarket тоді розглядала ці події як потенційно цілеспрямовані експлойти, пов’язані зі сторонньою автентифікацією. Ця історія важлива, оскільки вказує на ту ж структурну вразливість. Системи автентифікації та сесій можуть стати цілями з високим впливом.
Окрема загроза виникла у листопаді 2025 року, коли шахраї використали коментарі на Polymarket. Користувачі повідомили про втрати понад $500,000 після того, як зловмисники розмістили замасковані посилання. Ці посилання спрямовували жертв на шахрайські сторінки, які перехоплювали email-логіни.
Інцидент грудня 2025 року знову акцентує ризик інтеграції, а не збої у розрахунках. Polymarket не опублікувала технічного розбору чи повної хронології інциденту. Також невідомо, чи буде компанія компенсувати втрати користувачів.
Тим часом користувачі порівнюють способи входу та діляться адресами гаманців у публічних тредах. Деякі користувачі переходять на прямі підключення гаманців для більших балансів. Цей випадок підсилює ширший висновок для онбордингу у крипто: сторонні сервіси ідентифікації та гаманців тепер є критичною ланкою, тому вони можуть стати найслабшою точкою екосистеми.
