- Polymarket foydalanuvchi akkauntlari buzilishi protokol kamchiliklari emas, balki uchinchi tomon autentifikatsiyasiga bog‘liq ekani aniqlandi.
- Email asosidagi hamyon onboarding jarayoni smart-kontrakt ekspluatatsiyasiz akkauntlarning bo‘shatilishiga imkon berdi.
- Hodisa uchinchi tomon login xizmatlari Web3 tizimida zaif nuqta bo‘lib qolayotganini ko‘rsatdi.
Polymarket xakerlar uchinchi tomon login xizmatidagi kamchilikdan foydalangan holda cheklangan miqdordagi foydalanuvchi akkauntlaridan mablag‘larni bo‘shatganini ma’lum qildi. Foydalanuvchilar bir necha marta tizimga kirgandan so‘ng balanslarining to‘satdan kamaygani va pozitsiyalari yopilganini ta’riflashdi. Polymarket 2025-yil 24-dekabrda ushbu hodisani tasdiqladi va muammo bartaraf etilganini bildirdi.
2025-yil 22 va 23-dekabr kunlari X, Reddit va Discord platformalarida xabarlar paydo bo‘ldi. Reddit foydalanuvchilaridan biri uch marta tizimga kirishga uringanini, so‘ngra balansida $0.01 qolganini bildirdi. Yana bir foydalanuvchi shunga o‘xshash holatni aytib, email orqali ikki bosqichli autentifikatsiya mablag‘larning bo‘shatilishini to‘xtata olmaganini ta’kidladi.
Uchinchi tomon autentifikatsiyasi onboarding jarayonini umumiy zaif nuqtaga aylantiradi
Polymarket uchinchi tomon autentifikatsiya provayderi zaiflikni kiritganini bildirdi. Kompaniya rasmiy Discord kanalida muammo aniqlanib, bartaraf etilganini e’lon qildi. Polymarket ushbu hodisa oz sonli foydalanuvchilarga ta’sir qilganini ta’kidladi.
Polymarket uchinchi tomon provayderining nomini oshkor etmadi va o‘g‘irlangan umumiy mablag‘ miqdorini ham ma’lum qilmadi. Biroq, platforma o‘zining asosiy protokoli xavfsiz qolganini, muammo faqat autentifikatsiya bilan cheklanganini bildirdi. Shuningdek, tuzatish amalga oshirilgani va davomiy xavf yo‘qligini, ta’sirlangan foydalanuvchilar bilan bog‘lanilishini aytdi.
Bu yondashuv e’tiborni bozor mexanizmlaridan olib, kripto onboarding infratuzilmasiga qaratadi. Ko‘plab platformalar tezroq ro‘yxatdan o‘tish uchun tashqi identifikatsiya, hamyon va login xizmatlariga tayanadi. Natijada, bitta provayderdagi zaiflik bir nechta ilovalardagi foydalanuvchilarni xavf ostida qoldirishi mumkin.
Email hamyon loginlari ichki hamyonlarga kirish xavfini oshiradi
Foydalanuvchilar postlarida ko‘plab ta’sirlangan akkauntlar to‘g‘ridan-to‘g‘ri hamyon ulanishi o‘rniga email asosidagi “magic link” orqali kirilganini ko‘rsatdi. Bir nechta xabarlarda Magic Labs keng tarqalgan ro‘yxatdan o‘tish yo‘li sifatida tilga olindi, biroq Polymarket bu bog‘liqlikni tasdiqlamadi. Foydalanuvchilar, shuningdek, mablag‘lar bo‘shatilishidan oldin shubhali havolalarni bosmaganini aytishdi.
Email asosidagi hamyon provayderlari ko‘pincha ro‘yxatdan o‘tishda non-custodial Ethereum hamyonlarini yaratadi. Bu usul kengaytmalar yoki seed phrase boshqarishni istamaydigan yangi kripto foydalanuvchilarini jalb qiladi. Biroq, provayder hali ham login va tiklash jarayonining asosiy qismlarini boshqaradi.
Polymarket foydalanuvchilari USDC balanslari aniq tasdiqlovchi signallarsiz bo‘shatilganini ta’riflashdi. Hisobotlarda, shuningdek, ruxsatsiz kirishdan so‘ng pozitsiyalar tezda yopilgani aytilgan. Natijada, ushbu hodisa akkaunt xavfsizligi smart-kontrakt qatlamidan yuqorida ham izdan chiqishi mumkinligini ko‘rsatadi.
Tegishli: Polymarket Crypto Protokollar orasida Foydalanuvchini Saqlab Qolish Ko‘rsatkichi bo‘yicha Yetakchi
O‘tgan Polymarket hodisalari ham kirish qatlamidagi bosimni ko‘rsatadi
Ushbu buzilish 2024-yil sentabr oyidagi Google asosidagi loginlar bilan bog‘liq foydalanuvchi xabarlarini eslatadi. Foydalanuvchilar xakerlar “proxy” funksiyalari orqali hamyonlarni bo‘shatganini ta’riflashdi. Foydalanuvchi hisoblariga ko‘ra, bu chaqiriqlar USDC mablag‘larini fishing manzillariga o‘tkazgan.
O‘sha vaqtda Polymarket ushbu voqealarni uchinchi tomon autentifikatsiyasiga bog‘liq nishonli ekspluatatsiyalar sifatida ko‘rib chiqqan edi. Bu tarix muhim, chunki u bir xil tuzilmaviy xavfga ishora qiladi. Autentifikatsiya va sessiya tizimlari yuqori ta’sirli nishonlarga aylanishi mumkin.
2025-yil noyabr oyida esa Polymarket sharh bo‘limlaridan firibgarlar foydalanib, alohida xavf yuzaga keldi. Foydalanuvchilar xakerlar yashirin havolalarni joylashtirgandan so‘ng $500,000 dan ortiq mablag‘ yo‘qotganini xabar qilishdi. Ushbu havolalar qurbonlarni email loginlarini qo‘lga kirituvchi soxta sahifalarga yo‘naltirgan.
2025-yil dekabr hodisasi yana integratsiya xavfiga, emas, balki hisob-kitobdagi muvaffaqiyatsizliklarga e’tibor qaratadi. Polymarket texnik post-mortem yoki to‘liq hodisa vaqt jadvalini e’lon qilmagan. Shuningdek, foydalanuvchilarga yo‘qotishlar uchun kompensatsiya to‘lanadimi, yo‘qmi, noma’lum.
Bu orada, foydalanuvchilar login usullarini taqqoslab, hamyon manzillarini ommaviy muhokama qilishmoqda. Ba’zi foydalanuvchilar yuqori balanslar uchun to‘g‘ridan-to‘g‘ri hamyon ulanishiga o‘tishdi. Ushbu voqea kripto onboarding uchun kengroq xulosani mustahkamlaydi: uchinchi tomon identifikatsiya va hamyon infratuzilmalari endi muhim yo‘lda turibdi va ular ekotizimning eng nozik nuqtasiga aylanishi mumkin.
