Инцидент безопасности на Polymarket: уязвимость стороннего поставщика привела к раскрытию учетных записей пользователей

Сторонний инструмент входа, который стал уязвимостью для хакеров

Платформа прогнозирования Polymarket 24 декабря 2025 года подтвердила, что уязвимость в стороннем сервисе аутентификации позволила злоумышленникам получить доступ к аккаунтам пользователей и вывести их средства. Этот инцидент стал критическим примером риска для безопасности пользователей на платформах прогнозирования, затронув в первую очередь тех, кто использовал вход через электронную почту вместо прямого подключения кошелька. Случай продемонстрировал базовую уязвимость децентрализованных финансовых платформ, которые интегрируют внешние сервисы аутентификации без достаточной изоляции.

Система аутентификации, скомпрометированная в ходе атаки и, по сообщениям пользователей, связанная с Magic Labs, реализует email-вход через «магическую ссылку» и создает некостодиальные Ethereum-кошельки. Пользователи, зарегистрировавшие аккаунты через этот сервис, столкнулись с множеством несанкционированных попыток входа, после которых их счета были полностью обнулены. Многие отмечали, что получали уведомления о попытках входа через социальные сети, а затем обнаруживали практически нулевые балансы в USDC. Уязвимость оставалась активной достаточно долго, чтобы атакующие могли системно выявлять и эксплуатировать уязвленные аккаунты на платформе. Основной протокол Polymarket остался защищён, а нарушение коснулось только слоя сторонней аутентификации. Это важно для понимания уязвимостей платформ прогнозирования: даже децентрализованные решения подвержены серьёзным рискам из-за централизованных компонентов. Все пострадавшие пользователи столкнулись с компрометацией через один и тот же путь аутентификации, что позволило специалистам и самой платформе быстро локализовать вектор атаки.

Как злоумышленники использовали уязвимость Polymarket для вывода средств

Злоумышленники применили многоступенчатую схему эксплуатации уязвимости стороннего сервиса аутентификации, обходя стандартные меры защиты. Уязвимость email-входа позволила им получить несанкционированный доступ к аккаунтам без срабатывания комплексных систем обнаружения мошенничества. Пользователи отмечали последовательные уведомления о попытках входа, что указывает на компрометацию учетных данных или перехват токенов аутентификации для начального доступа. После успешного входа атакующие быстро выводили USDC с кошельков, связанных с аккаунтами Polymarket, практически без препятствий.

Техническая сторона атаки выявила принципиальные недостатки реализации сторонней аутентификации на Polymarket. Система «магической ссылки», нацеленная на удобство для пользователя, создала возможность обхода многофакторной аутентификации в определённых конфигурациях. Один из пострадавших пользователей получил email-уведомление о двухфакторной аутентификации во время несанкционированного доступа, что указывает на то, что атакующие имели достаточные права для обхода стандартных уровней проверки. Средства перемещались между разными криптовалютными адресами за считанные минуты, а блокчейн-анализ показал, что украденные активы сразу же дробились и проходили через цепочку кошельков с целью сокрытия происхождения. Скорость операций — в течение нескольких минут после компрометации — демонстрирует автоматизированный характер действий. Организованность схемы указывает на целевую атаку на уязвимости платформ прогнозирования, а не на случайные захваты отдельных аккаунтов. Отсутствие явных подтверждающих действий для переводов означает, что уязвимость обеспечила полный доступ к аккаунтам, позволяя атакующим действовать как законные пользователи. Расследование Polymarket подтвердило: уязвимость находилась исключительно в инфраструктуре стороннего провайдера, а не в базовых системах или смарт-контрактах платформы.

Критические ошибки безопасности: что не сработало и что упустили пользователи

Комбинация нескольких сбоев в системе безопасности позволила атаке нанести ущерб широкому кругу пользователей. Polymarket не внедрила должный мониторинг и сегментацию для сторонних сервисов аутентификации, что дало возможность эксплуатировать уязвимость длительное время до её обнаружения. Платформа не создала достаточной изоляции между слоями аутентификации и механизмами перевода активов, что привело к прямому риску для средств при взломе одного компонента. Протоколы реагирования на инциденты Polymarket не предусматривали четких процедур уведомления пользователей, восстановления доступа и компенсации в ходе атаки.

Сами пользователи упустили ключевые сигналы, которые могли предотвратить или сократить ущерб. Многие получили уведомления о попытках входа, но не сменили пароли и не включили дополнительные методы защиты. Некоторые полагались только на стандартную двухфакторную аутентификацию по email, не учитывая, что этот уровень может быть обойден при взломе самого сервиса аутентификации. Те, кто регистрировал аккаунты через сторонние сервисы без прямого контроля кошелька, приняли на себя ненужные риски, присущие email-доступу. Использование аппаратных кошельков или проверенных кастодиальных решений — стандарт в сообществе, однако пострадавшие предпочли удобство. Многие трейдеры на платформах прогнозирования работают с высокой скоростью и на нескольких аккаунтах, иногда игнорируя риски выбранной схемы аутентификации. Инцидент показал, что даже опытные криптоинвесторы могут не уделять внимания базовым принципам безопасности, когда сосредоточены на торговле, а не на защите аккаунта.

Неотложные меры для защиты ваших криптовалютных активов на платформах прогнозирования

Инвесторам в криптовалюту, торгующим на prediction market-платформах, необходимо срочно принять меры для защиты активов и предотвращения несанкционированного доступа. В первую очередь важно полностью отказаться от email-аутентификации. Если у вас есть аккаунты на платформах прогнозирования, переходите на прямое подключение аппаратных кошельков, например Ledger или Trezor, и не используйте сторонние сервисы входа. Такие методы сводят к минимуму риски, связанные с уязвимостью внешних провайдеров аутентификации. Если переход невозможен сразу, включите все доступные функции безопасности, включая двухфакторную аутентификацию через приложения-генераторы кодов, а не через SMS или email — такие методы также могут быть скомпрометированы при аналогичных уязвимостях.

Проведите аудит всех своих торговых аккаунтов на prediction market-платформах, проверьте наличие несанкционированных транзакций, закрытых позиций или перемещений активов. Проанализируйте историю транзакций и убедитесь, что все действия — ваши. При обнаружении подозрительной активности немедленно свяжитесь с командой безопасности платформы и сохраните все записи для возможного восстановления или обращения к регуляторам. Включите географические или IP-ограничения для входа, если платформа это поддерживает, чтобы злоумышленники из других регионов не могли получить доступ даже при наличии ваших данных. Для крупных сумм выводите основную часть активов на холодное хранение или в личные кошельки между торговыми сессиями, а prediction market-платформы используйте только для активного капитала. Polymarket и аналогичные сервисы рассматривайте как инструмент для торговли, а не для хранения средств. Регулярно обновляйте методы аутентификации и меняйте пароли каждые три месяца и после появления информации о взломе — как после инцидента 24 декабря 2025 года. Настройте оповещения в почтовом сервисе о попытках доступа или восстановления, чтобы быстро реагировать на угрозы. Используйте отдельные email-адреса для аккаунтов на криптоплатформах, чтобы при взломе основной почты не пострадали другие сервисы. Если вы используете Gate или другие сервисы для трейдинга или управления аккаунтами, убедитесь, что интеграция использует самые надежные методы аутентификации и обеспечивает прозрачность обращения с данными. Следите за обновлениями о безопасности, уязвимостях и объявлениями платформ через соцсети, форумы и официальные каналы — своевременная информация поможет быстро реагировать и защитить ваши средства.