Polymarket підтвердила використання вразливості у процесі сторонньої верифікації. Кошти користувачів було викрадено, що спричинило занепокоєння щодо ризиків.

Зображення: https://x.com/TheBlock__/status/2003739551865475076

Polymarket підтверджує атаку через уразливість сторонньої автентифікації, кошти користувачів викрадено

У грудні 2025 року Polymarket, платформа криптопрогнозування, офіційно підтвердила інцидент безпеки, пов’язаний із стороннім сервісом автентифікації особи, що призвело до викрадення частини активів користувачів. Платформа наголосила, що порушення не виникло через недоліки основного протоколу Polymarket чи його смартконтрактів. Зловмисники скористалися уразливістю стороннього сервісу автентифікації, отримали контроль над акаунтами користувачів і перевели кошти.

Передумови та офіційна заява

Згідно з офіційною заявою Polymarket, порушення безпеки відбулося під час входу користувачів і вплинуло переважно на акаунти, зареєстровані або доступні через сторонні сервіси автентифікації, такі як вхід через електронну пошту в один клік. Декілька користувачів повідомили, що навіть із двофакторною автентифікацією (2FA) їхні баланси були обнулені за лічені хвилини.

Polymarket підтвердив, що уразливість усунено, і зазначив, що немає ознак подальшої атаки. Платформа уточнила, що основні ринкові механізми, смартконтракти та системи розрахунків не зазнали впливу; інцидент стався через уразливість зовнішнього процесу верифікації особи.

Метод атаки та можливий механізм уразливості

Галузевий аналіз і відкриті джерела свідчать, що це не була стандартна фішингова атака чи наслідок розголошення приватних ключів користувачами. Зловмисники ймовірно скористалися слабкими місцями стороннього процесу автентифікації, обійшли стандартну перевірку входу та отримали контроль над гаманцями, прив’язаними до акаунтів, навіть якщо користувачі не переходили за шкідливими посиланнями чи не розкривали дані електронної пошти.

Отримавши контроль, зловмисники швидко перевели активи на зовнішні адреси, використовуючи розділення транзакцій і заплутування ланцюга для приховування руху коштів і спричинення реальних втрат.

Polymarket не оприлюднив технічних деталей уразливості або назву стороннього провайдера. Однак галузевий консенсус свідчить, що рішення автентифікації, які делегують управління ключами чи авторизацію акаунтів стороннім сервісам, створюють системні ризики у разі компрометації цих компонентів.

Відгуки користувачів і реакція спільноти

Після оприлюднення інциденту користувачі поділилися досвідом на спільнотних платформах і в соціальних мережах. Один користувач повідомив, що після сповіщення про аномальний вхід знову зайшов у Polymarket і виявив майже обнулений баланс. Інший зазначив, що не здійснював ризикованих дій, використовував лише вхід через електронну пошту з 2FA, але активи були переведені за короткий час.

Ці випадки швидко спричинили дискусію в спільноті. Багато користувачів переосмислили компроміс між “зручним входом” і “безпекою активів” на Web3 платформах. Деякі вважають, що інцидент показав, як оптимізація користувацького досвіду в децентралізованих застосунках може ненавмисно створити уразливість у межах безпеки.

Реакція Polymarket і поточний статус

Після підтвердження інциденту Polymarket негайно усунув уразливість і проактивно зв’язався з постраждалими користувачами. Платформа наголосила, що нової підозрілої активності не зафіксовано, система залишається захищеною.

Офіційна заява також підтвердила, що основні смартконтракти й ринкова логіка не зазнали впливу. Тому користувачі, які використовують гаманці самостійного зберігання або входять без сторонньої автентифікації, не були піддані цьому вектору атаки.

Polymarket не розкрив точну кількість постраждалих користувачів чи загальний обсяг фінансових втрат.

Галузевий погляд: чому стороння автентифікація — це фактор високого ризику

З галузевої перспективи цей випадок підкреслює структурні ризики для Web3 платформ, які залежать від сторонніх сервісів автентифікації особи. Зручний вхід через електронну пошту та авторизація через соціальні акаунти знижують поріг входу, але створюють нові точки атаки.

У Web2 системи OAuth і соціального входу давно мають проблеми з безпекою. У Web3 ці процеси автентифікації часто напряму пов’язані зі створенням гаманця, управлінням ключами чи авторизацією транзакцій. Будь-яка уразливість може призвести до прямих втрат активів, а не лише до витоку даних.

Висновки з безпеки та рекомендації щодо захисту користувачів

Інцидент Polymarket містить ключові висновки для власників криптоактивів:

• Використовуйте сторонні сервіси автентифікації з обережністю. Віддавайте перевагу гаманцям самостійного зберігання та незалежним рішенням для управління ключами.
• Впроваджуйте багаторівневий захист: апаратні гаманці та незалежні автентифікатори.
• Для платформ, якими користуєтесь рідко, оперативно переводьте активи на власні адреси під контролем користувача.
• Слідкуйте за офіційними оновленнями проекту, сповіщеннями про безпеку та зворотним зв’язком спільноти для швидкої реакції на потенційні ризики.

Висновок

Загалом, інцидент безпеки Polymarket не порушив цілісність основного протоколу, але чітко продемонстрував потенційні системні ризики сторонньої автентифікації особи в екосистемі Web3. У процесі розвитку криптоіндустрії та прагнення до зростання кількості користувачів і покращення досвіду, пошук балансу між зручністю та безпекою активів залишатиметься постійним викликом для всіх платформ.