Уязвимость сторонней аутентификации привела к исчезновению средств пользователей Polymarket, выявив риски инфраструктуры входа Web3

Событие: потеря доверия, кража миллионов средств

24 декабря 2025 года официальное представительство Polymarket подтвердило масштабную взлом аккаунтов на платформе. Источник инцидента заключался не в атаке на смарт-контракты, а в уязвимости, вызванной сторонним поставщиком услуг аутентификации. Множество пользователей сообщили о несанкционированных переводах средств со своих аккаунтов, у некоторых баланс USDC был мгновенно очищен и позиции автоматически закрыты.

Информация о событии впервые появилась 22 декабря 2025 года на платформах X, Reddit и Discord. Пользователи жаловались, что после нескольких попыток входа их средства исчезли таинственным образом. Один из пострадавших сообщил, что его баланс резко снизился с нормального состояния до $0.01, а другие отметили, что даже включение двухфакторной аутентификации по электронной почте не помогло предотвратить кражу.

Сторонняя аутентификация стала уязвимым звеном в криптоэкосистеме

Polymarket не раскрыл название вовлеченного стороннего поставщика или общую сумму украденных средств, однако пользователи указывают на распространенные схемы входа через электронную почту, такие как Magic Labs. Компания заявила в Discord-канале, что обнаружила и исправила проблему, и риск устранен. Тем не менее, заявления о «изолированном инциденте» и «затрагивающем лишь небольшое число пользователей» вызывают сомнения.

Ключевой вопрос: чтобы обеспечить быстрый старт для пользователей, многие DeFi-платформы полагаются на сторонние системы аутентификации, кошельки и входы в систему. Когда безопасность одного поставщика нарушается, цепная реакция может затронуть множество приложений в экосистеме. Такая архитектура переносит потенциальные риски с уровня смарт-контрактов на уровень идентификации — слабое место, которое часто игнорируют, но оно также может стать критическим уязвимым пунктом.

Скрытая опасность входа через электронную почту

Метод входа с помощью «magic link» по электронной почте популярен благодаря своей простоте. Платформы создают для пользователя неуправляемый Ethereum-кошелек при регистрации, снижая порог входа для новичков в криптовалюты. Но цена — поставщик все равно контролирует ключевой механизм восстановления доступа.

Пострадавшие пользователи сообщили, что не переходили по подозрительным ссылкам, а их средства были украдены. Это свидетельствует о том, что атака произошла не через традиционный фишинг, а через уязвимость в бэкэнде сторонней системы аутентификации. Как только злоумышленник преодолевает этот барьер, он может имитировать легитимного пользователя, авторизовать переводы или ликвидировать позиции — без участия самого пользователя.

Исторические уроки: повторяющиеся структурные риски

Этот инцидент не единичен. В сентябре 2024 года Polymarket уже сталкивался с подобной атакой, связанной с входом через Google. Тогда злоумышленники использовали вызов функции «proxy» для перевода USDC на фишинговый адрес, что платформа квалифицировала как целенаправленную атаку, связанную со сторонней системой аутентификации.

В ноябре 2025 года мошеннические комментарии также нанесли урон платформе. Мошенники размещали поддельные ссылки, заманивая пользователей вводить свои учетные данные для входа по электронной почте, что привело к потерям свыше $500,000. Эти события показывают одну и ту же тенденцию: аутентификация и управление сессиями становятся ценными целями для атак, а защита платформы в этой области явно недостаточна.

Глубокое осмысление: цена зависимости от сторонних сервисов

Polymarket до сих пор не опубликовал технический анализ или полную хронологию событий, а также не объявил о планах компенсации. Пострадавшие пользователи начинают переходить к прямому подключению кошельков (например, MetaMask), что, однако, не очень удобно для новичков.

Этот инцидент подтверждает болезненную правду криптоэкосистемы: ради улучшения пользовательского опыта протоколы все больше полагаются на сторонние сервисы — которые изначально должны были быть вспомогательными инструментами, но постепенно превращаются в единую точку отказа системы. Когда эти ключевые компоненты подвергаются взлому, даже идеально реализованные смарт-контракты не смогут защитить средства пользователей.

Для всей индустрии угроза уязвимостей сторонних систем аутентификации уже не менее опасна, чем уязвимости протоколов. Polymarket необходимо не только техническое исправление, но и кардинально пересмотреть свою цепочку зависимостей, чтобы обеспечить соответствие стандартам безопасности сторонних поставщиков и собственным требованиям.