탈중앙화 예측 플랫폼인 폴리마켓(Polymarket)은 최근 보안 사고로 일부 사용자 계정이 해킹당했다고 확인했으며, 이는 플랫폼의 핵심 인프라 문제가 아니라 제3자 인증 제공업체의 취약점 때문이라고 밝혔습니다.
사용자들은 의심스러운 링크를 클릭하지 않았음에도 불구하고 돈을 잃었다고 신고하고 있습니다.
이번 주 트위터와 레딧에서 계정 해킹 피해 보고가 처음으로 나오기 시작했으며, 많은 사용자들이 거래 포지션 전체가 청산되고 잔액이 거의 0이 되었다고 밝혔습니다.
한 사용자가 레딧에 자신의 기기가 해킹당하지 않았고, 구글 계정에도 의심스러운 활동이 없었으며, 다른 서비스들도 안전한 상태였음에도 불구하고 폴리마켓(Polymarket)에 이상한 로그인 알림을 세 번이나 받았다고 글을 올렸습니다. 폴리마켓에 로그인해 보니 모든 거래가 취소되었고 계좌 잔액은 단 0.01달러만 남아 있었다고 합니다.
또 다른 사례에서는 사용자가 링크를 클릭한 적도 없고 이메일에 2단계 인증(2FA)이 활성화되어 있음에도 불구하고, 승인되지 않은 로그인 알림을 여러 차례 받은 후 폴리마켓 계정에 있던 모든 금액이 인출되었다고 보고했습니다.
매직랩과 관련됨
커뮤니티 피드백에 따르면, 이 문제는 매직랩스를 통해 폴리마켓에 가입한 사용자에게만 영향을 미치는 것으로 보입니다. 이 서비스는 사용자가 이메일로 로그인하면 자동으로 비수탁형 이더리움 지갑을 생성해 주는데, 이는 아직 자체 지갑이 없는 암호화폐 초보자들이 많이 사용하는 기능입니다.
폴리마켓: 해당 문제는 해결되었으며, 더 이상 위험 요소가 없습니다.
화요일, 폴리마켓은 프로젝트의 디스코드 채널을 통해 해당 문제를 공식적으로 인정했습니다. 발표에 따르면, 플랫폼은 문제를 파악하고 해결했으며, 더 이상 위험 요소가 남아 있지 않다고 밝혔습니다.
지금 BingX에 가입하여 다양한 혜택을 누리고 최고 수준의 보안을 경험해 보세요.
폴리마켓은 다음과 같이 밝혔습니다.
- 이 문제는 소수의 사용자에게만 영향을 미쳤습니다.
- 원인은 제3자 인증 제공업체에서 발생하는 취약점 때문입니다.
- 해당 팀은 영향을 받는 계정 담당자들에게 적극적으로 연락할 것입니다.
하지만 폴리마켓은 공식 발표에서 피해를 입은 사용자 수, 도난당한 자산의 가치 또는 제3자 공급업체의 이름을 공개하지 않았습니다.
폴리마켓이 보안 사고를 겪은 것은 이번이 처음이 아닙니다.
폴리마켓이 사용자 보안과 관련된 문제에 직면한 것은 이번이 처음이 아닙니다.
- 2024년 9월, 구글 계정으로 로그인한 많은 사용자들이 공격자들이 프록시 명령어를 이용해 피싱 주소로 자금을 이체하면서 USDC 지갑 잔액이 완전히 사라졌다고 보고했습니다. 당시 폴리마켓은 이 문제의 원인이 제3자 인증 서비스와 관련이 있을 것으로 추정했습니다.
- 지난달에는 폴리마켓의 댓글란을 악용한 또 다른 피싱 공격으로 50만 달러 이상의 손실이 발생했습니다. 사기꾼들은 가짜 링크를 게시하여 사용자들이 가짜 이메일 주소로 로그인해야 하는 페이지로 연결되도록 했습니다.
사용자 경고
이번 일련의 사건들은 웹3 플랫폼, 특히 신규 사용자를 대상으로 하는 "이메일 로그인" 솔루션에서 로그인 인증 및 사용자 경험(UX)이 주요 약점으로 떠오르고 있음을 다시 한번 부각시킵니다.
