Polymarket, một sàn giao dịch dự đoán tiền điện tử hàng đầu, được cho là đã bị đánh cắp tiền, với nhiều người dùng bày tỏ sự phẫn nộ trên X và Reddit vào rạng sáng ngày 24 tháng 12, nói rằng "số dư tài khoản của họ đã bị xóa sạch".
Nền tảng này nhanh chóng thừa nhận lỗ hổng bảo mật trên trang Discord chính thức , chỉ ra một "nhà cung cấp dịch vụ bên thứ ba". Công cụ theo dõi ChuỗiLookonchain sau đó đã xác định nhà cung cấp dịch vụ ví Magic Labs, khiến sự cố này trở thành một trong những vụ vi phạm bảo mật được theo dõi nhiều nhất trên thị trường crypto vào cuối năm 2025.
Chính thức cho biết vấn đề đã được khắc phục, nhưng một số người vẫn còn lo lắng.
Chưa đầy một giờ sau khi người dùng báo cáo sự cố, Polymarket đã đưa ra thông báo:
Chúng tôi đã phát hiện ra một lỗ hổng liên quan đến nhà cung cấp dịch vụ bên thứ ba, và hiện tại lỗ hổng này đã được khắc phục. Chỉ một số lượng rất nhỏ người dùng bị ảnh hưởng, và chúng tôi sẽ chủ động liên hệ với họ.
Thông báo không tiết lộ số tiền thiệt hại hay số nạn nhân, nhưng nó lại gây ra sự hoang mang lớn hơn. Dựa trên khối lượng giao dịch hàng tháng của Polymarket vào năm 2025, ước tính lên tới hàng tỷ đô la mỗi tháng, ngay cả "rất ít" trường hợp cũng có thể gây ra tổn thất khổng lồ.
Khác với các cuộc tấn công Phishing thông thường, không có liên kết đáng ngờ nào được lan truyền vào thời điểm xảy ra sự việc, và nhiều nạn nhân thậm chí đã bật xác thực hai yếu tố (2FA) cho email. Chìa khóa để vượt qua hệ thống phòng thủ không nằm ở phía người dùng, mà nằm ở quá trình xác thực của bên thứ ba diễn ra ở phía sau.
Cơ chế đăng nhập của Magic Labs đã trở thành điểm yếu.
Để giảm bớt rào cản gia nhập, Polymarket đã giới thiệu tính năng "Tạo ví không quản lý" của Magic Labs. Người dùng không còn cần phải ghi nhớ Cụm từ hạt giống nữa; họ có thể quản lý tài sản Ethereum chỉ bằng cách gửi mã xác minh. Tuy nhiên, kẻ tấn công có thể trực tiếp khai thác lỗ hổng hệ thống trong lớp xác thực của Magic Labs để giành quyền kiểm soát ví, khiến xác thực hai yếu tố (2FA) trở nên vô hiệu.
Dữ liệu hiện tại trên Chuỗi cho thấy địa chỉ của hacker đã chia nhỏ tài sản và sử dụng phương pháp trộn đa cấp trong một khoảng thời gian ngắn, làm tăng độ khó trong việc truy tìm sự cố. Mặc dù tuyên bố chính thức cho rằng vấn đề đã được "khắc phục", nhưng một báo cáo đầy đủ về sự việc sau đó vẫn chưa được cung cấp cho cộng đồng .
Trong khi đó, công ty bảo mật SlowMist cảnh báo về một phần mềm sao chép lệnh độc hại Polymarket xuất hiện trên GitHub, nhắm mục tiêu cụ thể vào các nhà giao dịch chuyên nghiệp tự tạo ra các kịch bản giao dịch của riêng họ. Chương trình này đọc các tệp cấu hình cục bộ và bí mật truyền private key. Mặc dù không liên quan trực tiếp đến lỗ hổng của Magic Labs, nhưng nó xuất hiện cùng ngày.
