Lỗ hổng xác thực bên thứ ba khiến người dùng Polymarket mất tiền, phơi bày rủi ro cơ sở hạ tầng đăng nhập Web3

Sự kiện tổng quan: Mất kiểm soát lớp xác thực, hàng triệu khoản tiền bị đánh cắp

Ngày 24/12/2025, Polymarket chính thức xác nhận nền tảng gặp phải vụ tấn công lớn vào tài khoản. Nguyên nhân không phải do tấn công hợp đồng thông minh, mà là do lỗ hổng bảo mật do nhà cung cấp dịch vụ xác thực bên thứ ba gây ra. Một lượng lớn người dùng phản ánh số dư tài khoản bị chuyển đi mà không có sự cho phép, một số người dùng còn bị xóa sạch vị thế USDC và tự động đóng vị thế.

Vụ việc lần đầu được phát hiện vào ngày 22/12/2025 trên các nền tảng mạng xã hội như X, Reddit và Discord. Người dùng phản ánh sau nhiều lần cố gắng đăng nhập, tài khoản của họ đột nhiên biến mất bí ẩn. Một nạn nhân cho biết số dư của họ giảm từ trạng thái bình thường xuống còn $0.01, trong khi một số người dùng khác phản ánh dù đã bật xác thực hai yếu tố qua email cũng không ngăn được bị đánh cắp.

Nhà cung cấp xác thực bên thứ ba trở thành điểm yếu trong hệ sinh thái crypto

Polymarket không tiết lộ tên nhà cung cấp bên thứ ba liên quan hoặc tổng số tiền bị đánh cắp, nhưng các báo cáo của người dùng chỉ ra các giải pháp đăng nhập qua email phổ biến như Magic Labs. Công ty này đã thông báo trên kênh Discord rằng đã xác định và khắc phục vấn đề, hiện tại rủi ro đã được loại bỏ. Tuy nhiên, tuyên bố của Polymarket rằng đây là “sự kiện cô lập”, “chỉ ảnh hưởng đến một số ít người dùng” đã gây ra nhiều nghi vấn.

Vấn đề then chốt là: để người dùng có thể tiếp cận nhanh chóng, nhiều nền tảng DeFi dựa vào xác thực danh tính của bên thứ ba, dịch vụ ví và hệ thống đăng nhập. Khi một nhà cung cấp bị tấn công, phản ứng dây chuyền có thể ảnh hưởng đến nhiều ứng dụng trong hệ sinh thái. Tính chất kiến trúc này chuyển rủi ro tiềm ẩn từ lớp hợp đồng thông minh sang lớp xác thực danh tính — một điểm yếu thường bị bỏ qua nhưng cũng có thể gây chết người.

Nguy cơ tiềm ẩn từ đăng nhập qua email và ví điện tử

Phương thức đăng nhập dựa trên email như “magic link” rất phổ biến nhờ tính tiện lợi. Nền tảng tạo ví Ethereum không quản lý cho người dùng khi đăng ký, giúp giảm rào cản gia nhập cho người mới trong lĩnh vực crypto. Nhưng đổi lại, nhà cung cấp vẫn kiểm soát cơ chế khôi phục đăng nhập cốt lõi.

Người dùng bị thiệt hại cho biết họ không nhấp vào bất kỳ liên kết đáng ngờ nào, nhưng tài sản vẫn bị đánh cắp. Điều này cho thấy cuộc tấn công không phải qua lừa đảo truyền thống, mà là khai thác lỗ hổng phía sau của dịch vụ xác thực bên thứ ba. Một khi kẻ tấn công vượt qua lớp phòng thủ này, chúng có thể giả mạo danh tính người dùng hợp pháp, sau đó ủy quyền chuyển khoản hoặc thanh lý vị thế — mà không cần sự can thiệp của người dùng.

Bài học lịch sử: Lặp lại rủi ro cấu trúc

Sự kiện này không phải là trường hợp cá biệt. Tháng 9/2024, Polymarket từng gặp phải vụ tấn công tương tự liên quan đến phương thức đăng nhập Google. Thời điểm đó, kẻ tấn công đã lợi dụng hàm “proxy” để chuyển USDC đến địa chỉ lừa đảo, và Polymarket gọi đó là tấn công có chủ đích liên quan đến xác thực bên thứ ba.

Tháng 11/2025, các vụ lừa đảo trong phần bình luận cũng gây ảnh hưởng cho nền tảng. Kẻ lừa đảo đăng các liên kết giả mạo dụ người dùng nhập thông tin đăng nhập email, dẫn đến thiệt hại hơn $500,000. Chuỗi các sự kiện này đều chỉ ra một kết luận chung: xác thực và quản lý phiên đã trở thành mục tiêu tấn công có giá trị cao, trong khi các nền tảng rõ ràng chưa đầu tư đủ vào phòng thủ.

Suy ngẫm sâu hơn: Hệ quả của phụ thuộc vào bên thứ ba

Cho đến nay, Polymarket chưa công bố phân tích kỹ thuật hậu sự kiện hoặc dòng thời gian đầy đủ của vụ việc, cũng chưa tiết lộ kế hoạch bồi thường. Người dùng bị ảnh hưởng bắt đầu chuyển sang kết nối ví trực tiếp (như MetaMask), mặc dù điều này không thân thiện với người mới.

Vụ việc này nhấn mạnh một thực tế đau lòng của hệ sinh thái crypto: để nâng cao trải nghiệm người dùng, các giao thức ngày càng phụ thuộc vào dịch vụ của bên thứ ba — vốn dĩ là các công cụ hỗ trợ, nhưng dần trở thành điểm yếu duy nhất của hệ thống. Khi các đường dẫn quan trọng này bị tấn công, ngay cả hợp đồng thông minh hoàn hảo nhất cũng không thể bảo vệ tài sản của người dùng.

Đối với toàn ngành, lỗ hổng xác thực của bên thứ ba không kém gì lỗ hổng trong giao thức. Polymarket cần không chỉ là vá lỗi kỹ thuật, mà còn phải đánh giá lại toàn diện chuỗi phụ thuộc hệ sinh thái của mình, đảm bảo tiêu chuẩn an toàn của các nhà cung cấp bên thứ ba phù hợp với yêu cầu của chính họ.