Інцидент безпеки на Polymarket: вразливість зовнішнього сервісу призвела до компрометації облікових записів користувачів

Сторонній інструмент автентифікації, який став каналом для хакерських атак

Платформа прогнозування Polymarket 24 грудня 2025 року підтвердила, що уразливість у сервісі автентифікації від стороннього постачальника дозволила зловмисникам отримати доступ і вивести кошти з акаунтів користувачів. Цей випадок демонструє суттєву слабкість у загальній системі безпеки платформ прогнозування, яка особливо впливає на користувачів, що обирають вхід через електронну пошту замість прямого підключення гаманця. Інцидент підкреслює принципову вразливість децентралізованих фінансових платформ, які використовують зовнішніх провайдерів автентифікації без достатніх протоколів ізоляції.

Зламаний механізм автентифікації, який користувачі ідентифікували як сервіс Magic Labs, працює на основі email-автентифікації з «magic link» (автоматичним листом для входу) і створює некостодіальні гаманці Ethereum. Користувачі, які реєструвалися через цей сервіс, виявили несанкціоновані спроби входу з подальшим повним виведенням активів. Частина користувачів отримувала сповіщення про спроби входу через соціальні мережі, а згодом спостерігала скорочення балансу USDC до мінімальних залишків. Уразливість залишалася чинною достатньо довго, щоб зловмисники змогли систематично знайти і зламати відповідні акаунти на платформі. Ядро протоколу Polymarket залишалося захищеним протягом інциденту, а злом стосувався виключно шару сторонньої автентифікації. Це розмежування є ключовим для розуміння ризиків платформ прогнозування, адже навіть децентралізовані рішення можуть стати жертвами суттєвих компрометацій через централізовані сервіси. Усі випадки компрометації акаунтів мали спільний шлях через одну автентифікаційну систему, що дозволило оперативно визначити вектор атаки і дослідникам безпеки, і самій платформі.

Як зловмисники використали уразливість Polymarket для виведення коштів користувачів

Зловмисники використали уразливість сторонньої автентифікації шляхом багаторівневої атаки, яка дозволила обійти типові засоби захисту. Проблема у системі входу через електронну пошту дала змогу отримати несанкціонований доступ без активації повноцінних механізмів виявлення шахрайства. Користувачі отримували послідовні сповіщення про спроби входу, що вказує на компрометацію облікових даних або перехоплення токенів автентифікації. Після успішної несанкціонованої авторизації зловмисники безперешкодно здійснювали перекази, виводячи USDC з гаманців, пов’язаних із акаунтами Polymarket.

Технічний спосіб реалізації атаки засвідчив критичні недоліки інтеграції сторонньої автентифікації Polymarket. Система «magic link», що мала забезпечити простоту входу, у певних конфігураціях дозволила оминути багатофакторну автентифікацію. Один із постраждалих отримав сповіщення про двофакторну автентифікацію на email під час несанкціонованої активності, що говорить про наявність у зловмисників достатніх прав для обходу захисту. Кошти рухалися через декілька криптовалютних адрес; ончейн-аналіз показав, що вкрадені активи одразу розділялися і переводилися через різні гаманці, щоб приховати джерело. Швидкість транзакцій — у межах кількох хвилин після злому — свідчить про автоматизацію процесу, а не ручні дії. Така структура атаки вказує на організовану кампанію, спрямовану проти платформ прогнозування, а не випадкові захоплення акаунтів. Відсутність системи підтвердження для переказу коштів означає, що уразливість забезпечила повний контроль над акаунтом, дозволяючи діяти як власник. Polymarket підтвердила, що проблема виникла повністю на стороні стороннього провайдера, а не в основних системах чи контрактах платформи.

Критичні збої безпеки: причини та втрачені можливості користувачів

Послідовність невдач у безпеці дозволила інциденту вплинути на численні акаунти. Polymarket не впровадила достатнього моніторингу та сегментації при роботі зі сторонніми сервісами автентифікації, тому уразливість залишалася експлуатованою тривалий час. Відсутність ізоляції між системами автентифікації й переказу активів призвела до того, що злом одного рівня одразу торкався користувацьких коштів. Крім того, протоколи реагування платформи не містили чітких правил сповіщення користувачів, відновлення акаунтів чи компенсацій у разі порушення безпеки.

Користувачі також пропустили важливі сигнали, які могли б допомогти уникнути або мінімізувати збитки. Багато хто визнав, що отримував сповіщення про спроби входу, але не змінив вчасно дані для входу і не активував додаткові рівні захисту. Частина користувачів покладалася тільки на стандартну двофакторну автентифікацію через email, не враховуючи, що у разі компрометації автентифікаційного сервісу цей захист можна оминути. Користувачі, які створили акаунти через сторонні сервіси без прямого контролю над гаманцем, взяли на себе зайві ризики зберігання, притаманні email-доступу. У спільноті недостатньо використовували апаратні гаманці або надійні кастодіальні рішення; постраждалі часто віддавали перевагу зручності замість безпеки. Багато трейдерів на платформах прогнозування працюють із великою швидкістю, маючи кілька акаунтів, і можуть ігнорувати ризики вибору способу входу. Цей інцидент доводить: навіть досвідчені інвестори у криптовалюти можуть нехтувати елементарними принципами безпеки, фокусуючись на торгівлі замість захисту акаунта.

Важливі кроки для захисту криптоактивів на платформах прогнозування

Інвесторам у криптовалюти, що працюють на платформах прогнозування, слід негайно впровадити заходи для захисту активів і запобігання несанкціонованому доступу. Перший критичний крок — повністю відмовитися від автентифікації через електронну пошту. Якщо у вас є акаунти на платформах прогнозування, обирайте пряме підключення гаманця з використанням апаратних рішень (Ledger, Trezor) замість сторонніх сервісів автентифікації. Такі підключення усувають потенційні вектори атак через сторонніх провайдерів. Якщо негайний перехід із email-доступу неможливий, активуйте всі доступні функції захисту, включно з двофакторною автентифікацією через спеціальні додатки, а не через SMS чи email, оскільки останні можуть бути скомпрометовані так само, як і під час даного інциденту.

Проведіть детальний аудит торгової активності на всіх платформах прогнозування: перевірте несанкціоновані транзакції, закриті позиції або рухи активів, які ви не ініціювали. Перегляньте історію транзакцій — кожен трейд, депозит, виведення повинні відповідати лише вашим діям. У разі виявлення підозрілої активності негайно зв’яжіться з командою безпеки платформи та збережіть усі записи для можливого відновлення чи регуляторної звітності. Впровадьте географічні або IP-обмеження для свого акаунта, якщо такі функції підтримуються платформою, щоб сторонні особи не могли отримати доступ навіть за наявності ваших облікових даних. Якщо на акаунті зберігаються значні кошти, перемістіть більшість активів у холодне зберігання чи під власний контроль між торговими сесіями, а на платформі залишайте лише робочий капітал. Polymarket та інші платформи прогнозування слід розглядати лише як торгові інтерфейси, а не місця зберігання активів. Регулярно оновлюйте способи автентифікації та змінюйте паролі кожні три місяці або одразу після масштабних інцидентів, таких як подія 24 грудня 2025 року. Налаштуйте сповіщення від email-провайдера про всі спроби доступу чи відновлення до акаунта — це додасть рівень захисту від потенційних атак. Використовуйте окремі email-адреси для акаунтів на криптоплатформах, щоб у разі компрометації обмежити ризики для основної кореспонденції. Якщо ви використовуєте сервіси, як Gate, для торгової інфраструктури чи управління акаунтами, переконайтеся, що інтеграції підтримують найсильніші методи автентифікації і залишаються прозорими щодо обробки даних. Слідкуйте за оновленнями безпеки на офіційних каналах, форумах і у соціальних мережах — своєчасна інформація про ризики платформ прогнозування дає змогу швидко реагувати та підвищувати захист акаунта.