Купити криптовалюту
Оплачуйте
USD
Купити та продати
HOT
Купуйте та продавайте криптовалюту через Apple Pay, картки, Google Pay, Банківський переказ тощо
P2P
0 Fees
Нульова комісія, понад 400 способів оплати та зручна купівля й продаж криптовалют
Gate Card
Криптовалютна платіжна картка, що дозволяє здійснювати безперешкодні глобальні транзакції.
Торгівля
Базовий
Спот
Вільно торгуйте криптовалютою
Маржа
Збільшуйте свій прибуток за допомогою кредитного плеча
Конвертація та блокова торгівля
0 Fees
Торгуйте будь-яким обсягом без комісій та прослизань
Токени з кредитним плечем
Отримайте швидкий доступ до позицій кредитного плеча
Премаркет
Торгуйте новими токенами до їх офіційного лістингу
Ф'ючерси
Ф'ючерси
Сотні контрактів розраховані в USDT або BTC
Опціони
HOT
Торгівля ванільними опціонами європейського зразка
Єдиний рахунок
Максимізуйте ефективність вашого капіталу
Демо торгівля
Запуск ф'ючерсів
Підготуйтеся до ф’ючерсної торгівлі
Ф'ючерсні події
Беріть участь у подіях, щоб виграти щедрі винагороди
Демо торгівля
Використовуйте віртуальні кошти для безризикової торгівлі
Earn
Запуск
CandyDrop
Збирайте цукерки, щоб заробити аірдропи
Launchpool
Швидкий стейкінг, заробляйте нові токени
HODLer Airdrop
Утримуйте GT і отримуйте масові аірдропи безкоштовно
Launchpad
Будьте першими в наступному великому проекту токенів
Бали Alpha
NEW
Торгуйте ончейн-активами і насолоджуйтеся аірдроп-винагородами!
Ф'ючерсні бали
NEW
Заробляйте фʼючерсні бали та отримуйте аірдроп-винагороди
Інвестиції
Simple Earn
Заробляйте відсотки за допомогою неактивних токенів
Автоінвестування
Автоматичне інвестування на регулярній основі
Подвійні інвестиції
Купуйте дешево і продавайте дорого, щоб отримати прибуток від коливань цін
Soft Staking
Earn rewards with flexible staking
Криптопозика
0 Fees
Заставте одну криптовалюту, щоб позичити іншу
Центр кредитування
Єдиний центр кредитування
Центр багатства VIP
Індивідуальне управління капіталом сприяє зростанню ваших активів
Управління приватним капіталом
Індивідуальне управління активами для зростання ваших цифрових активів
Квантовий фонд
Найкраща команда з управління активами допоможе вам отримати прибуток без клопоту
Стейкінг
Стейкайте криптовалюту, щоб заробляти на продуктах PoS
Розумне кредитне плече
NEW
Жодної примусової ліквідації до дати погашення — прибуток із плечем без зайвих ризиків
Випуск GUSD
Використовуйте USDT/USDC для випуску GUSD з дохідністю на рівні казначейських облігацій
Більше
Популярні теми
Дізнатися більше11.25K Популярність
30.03K Популярність
5.75K Популярність
21.49K Популярність
119.57K Популярність
Популярні активності Gate Fun
Дізнатися більше- 1
骐骐
骐骐
Рин. кап.:$3.88KХолдери:21.85% - Рин. кап.:$3.7KХолдери:20.01%
- Рин. кап.:$3.64KХолдери:10.00%
- Рин. кап.:$3.65KХолдери:10.13%
- Рин. кап.:$3.72KХолдери:20.50%
Закріпити
Уразливість сторонньої сертифікації призвела до зникнення коштів користувачів Polymarket, що висвітлює ризики інфраструктури входу Web3
Події та огляд: втрата рівня аутентифікації, крадіжка мільйонів коштів
24 грудня 2025 року офіційний представник Polymarket підтвердив масштабну злом платформі. Причиною інциденту стала не атака на смарт-контракти, а вразливість у безпеці, викликана стороннім постачальником сервісів аутентифікації. Багато користувачів повідомили про несанкціоноване переказування балансу, а у деяких випадках їхні USDC були миттєво очищені та автоматично закриті позиції.
Інцидент був вперше оприлюднений 22 грудня 2025 року на платформах X, Reddit і Discord. Користувачі скаржилися, що після кількох спроб входу їхні кошти зникли таємничим чином. Один із постраждалих повідомив, що його баланс раптово знизився з нормального стану до $0.01, а інший — що навіть увімкнення двофакторної автентифікації через електронну пошту не змогло запобігти крадіжці.
Третя сторона аутентифікації стала вразливим вузлом у криптоекосистемі
Polymarket не розкрив назви залучених сторонніх постачальників або загальну суму викрадених коштів, але користувачі повідомляють про використання поширених рішень для входу через електронну пошту, таких як Magic Labs. У Discord-каналі компанія заявила, що ідентифікувала та виправила проблему, і наразі ризик усунуто. Однак твердження Polymarket про «ізольовану подію» та «вплив лише на кілька користувачів» викликає сумніви.
Ключове питання полягає в тому: щоб швидко залучити користувачів, багато DeFi-платформ покладаються на сторонні системи аутентифікації, гаманці та системи входу. Коли безпека одного з постачальників порушується, ланцюгова реакція може зачепити кілька додатків у екосистемі. Така архітектура переносить потенційний ризик із рівня смарт-контрактів на рівень ідентифікації — слабке місце, яке часто ігнорується, але може бути так само фатальним.
Приховані ризики входу через електронну пошту та гаманці
Застосування входу через «magic link» на основі електронної пошти є популярним через свою зручність. Платформи створюють для користувачів неуправляємі Ethereum-гаманці під час реєстрації, знижуючи бар’єри для новачків у криптовалюті. Однак це означає, що постачальник все ще контролює основний механізм відновлення доступу.
Постраждалі користувачі повідомили, що їхні кошти були викрадені без натискання підозрілих посилань. Це свідчить про те, що атака не відбувалася через традиційний фішинг, а безпосередньо через вразливість у бекенд-системі стороннього сервісу аутентифікації. Як тільки зловмисник прориває цей рівень захисту, він може імітувати легітимний обліковий запис користувача, авторизувати перекази або закриття позицій — без участі самого користувача.
Історичний досвід: повторювані структурні ризики
Цей інцидент не є унікальним. У вересні 2024 року Polymarket вже зазнав схожої атаки, пов’язаної з входом через Google. Тоді зловмисники використали функцію «proxy» для виклику, щоб переказати USDC на фішингову адресу. Polymarket кваліфікував цю атаку як цілеспрямовану на сторонню систему аутентифікації.
У листопаді 2025 року шахрайські повідомлення у коментарях також завдали шкоди платформі. Зловмисники публікували підроблені посилання, щоб змусити користувачів вводити свої дані для входу через електронну пошту, що призвело до збитків понад $500,000. Ці події разом свідчать про одне: управління аутентифікацією та сесіями стало цінною ціллю для атак, і платформи явно недостатньо інвестують у захист.
Глибока рефлексія: ціна залежності від сторонніх сервісів
Polymarket досі не оприлюднив технічний аналіз інциденту або повний хронологічний опис подій, а також не оголосив про компенсаційні заходи. Постраждалі користувачі починають переходити до прямого підключення гаманців (наприклад, MetaMask), що не є зручним для новачків.
Цей інцидент підкреслює одну з болючих проблем у криптоекосистемі: для покращення користувацького досвіду протоколи дедалі більше покладаються на сторонні сервіси — які мали б бути допоміжними інструментами, але поступово стають єдиною точкою відмови системи. Коли ці ключові шляхи піддаються атакам, навіть ідеальні смарт-контракти не зможуть захистити кошти користувачів.
Для всього сектору загроза вразливостей сторонніх систем аутентифікації вже не поступається ризикам уразливостей протоколів. Polymarket потрібно не лише технічних патчів, а й повного переоцінювання своєї екосистемної залежності, щоб забезпечити відповідність стандартам безпеки сторонніх постачальників і власних вимог.