Polymarket — одна з найпомітніших платформ прогнозних ринків у криптоекосистемі — зіткнулася з інцидентом, який оголив фундаментальну проблему Web3: навіть некастодіальні сервіси залишаються вразливими через сторонню інфраструктуру. Пише minfin.com.ua
Цього тижня компанія підтвердила факт компрометації окремих акаунтів, унаслідок чого користувачі втратили кошти. Причина — уразливість у провайдера аутентифікації, а не в базовій архітектурі самої платформи.
Сценарій атаки: без фішингу, але з повним доступом
Перші сигнали про проблему з’явилися у соцмережах X та на Reddit. Постраждалі користувачі описували майже ідентичний сценарій: система фіксувала серію підозрілих спроб входу, після чого кошти з гаманців зникали.
Ключовий момент — багато з них мали активовану двофакторну аутентифікацію та не переходили за жодними фішинговими посиланнями. Це фактично виключає класичні схеми соціальної інженерії й вказує на глибший рівень компрометації.
Під прицілом — Magic Labs і «зручний Web3»
Спільнота швидко звернула увагу на спільний знаменник: більшість постраждалих реєструвалися в Polymarket через Magic Labs — сервіс, що дозволяє створювати некастодіальні Ethereum-гаманці за допомогою електронної пошти.
Magic Labs позиціонується як інструмент для зниження порогу входу в крипту, особливо для новачків. Проте саме ця зручність, імовірно, стала слабкою ланкою в системі безпеки.
Фактично, інцидент продемонстрував ключову дилему Web3: чим простіший онбординг, тим більша поверхня атаки.
Позиція Polymarket: проблема локалізована, ризик системний
Команда Polymarket оперативно визнала інцидент, наголосивши, що уразливість була усунута, а масштаб проблеми — обмежений.
«Ми виявили та ліквідували проблему безпеки, яка торкнулася невеликої кількості користувачів. Інцидент був спричинений уразливістю стороннього провайдера аутентифікації», — йдеться в офіційній заяві компанії.
Водночас платформа не розкриває ані точну кількість постраждалих, ані обсяг фінансових втрат. Команда пообіцяла напряму зв’язатися з користувачами, чиї акаунти зазнали компрометації.
Чому це важливо для всієї індустрії
Цей кейс виходить далеко за межі одного проєкту. Він демонструє, що у Web3 ризик дедалі частіше зосереджується не в смартконтрактах, а в периферійній інфраструктурі — сервісах входу, онбордингу та управління ключами.
Для користувачів це сигнал: двофакторна аутентифікація та некастодіальний гаманець не гарантують абсолютного захисту, якщо контроль доступу делеговано третій стороні.
Для індустрії — нагадування, що довіра в Web3 формується не лише кодом, а й усім ланцюгом залежностей. І будь-яка його слабка ланка може коштувати реальних грошей.
Джерело інформації та фото: minfin.com.ua