Nền tảng dự đoán phi tập trung Polymarket vừa xác nhận rằng một số tài khoản người dùng đã bị xâm nhập trong một sự cố bảo mật gần đây, với nguyên nhân xuất phát từ lỗ hổng của nhà cung cấp xác thực bên thứ ba, chứ không phải từ hạ tầng cốt lõi của nền tảng.
Người dùng phản ánh bị mất tiền dù không click link lạ
Những báo cáo đầu tiên về việc tài khoản bị hack bắt đầu xuất hiện trong tuần này trên X (Twitter) và Reddit, khi nhiều người dùng chia sẻ rằng toàn bộ vị thế giao dịch bị đóng và số dư gần như về 0.
Một người dùng viết trên Reddit cho biết họ nhận được 3 cảnh báo đăng nhập bất thường vào Polymarket, dù thiết bị không bị xâm nhập, tài khoản Google không ghi nhận hoạt động đáng ngờ và các dịch vụ khác vẫn an toàn. Khi đăng nhập vào Polymarket, người này phát hiện mọi giao dịch đã bị đóng và tài khoản chỉ còn 0,01 USD.
Một trường hợp khác cho biết họ cũng nhận được nhiều thông báo đăng nhập trái phép, sau đó toàn bộ tiền trong tài khoản Polymarket bị rút sạch, dù không nhấp vào bất kỳ đường link nào và email đã bật xác thực hai lớp (2FA).
Liên quan đến Magic Labs
Theo phản ánh từ cộng đồng, sự cố dường như chỉ ảnh hưởng đến những người dùng đăng ký Polymarket thông qua Magic Labs. Dịch vụ này cho phép người dùng đăng nhập bằng email và tự động tạo ví Ethereum không lưu ký, thường được sử dụng bởi người mới tham gia crypto chưa có ví riêng.
Polymarket: Sự cố đã được khắc phục, không còn rủi ro
Ngày thứ Ba, Polymarket đã chính thức thừa nhận sự cố trên kênh Discord của dự án. Theo thông báo, nền tảng đã xác định và xử lý xong vấn đề, đồng thời khẳng định không còn rủi ro tồn dư.
Tham giaBingX– hôm nay để nhận loạt ưu đãi và trải nghiệm tiêu chuẩn bảo mật hàng đầu.
Polymarket cho biết:
- Sự cố chỉ ảnh hưởng đến một số ít người dùng
- Nguyên nhân là do lỗ hổng phát sinh từ bên cung cấp xác thực thứ ba
- Đội ngũ sẽ chủ động liên hệ với các tài khoản bị ảnh hưởng
Tuy nhiên, Polymarket không công bố số lượng người dùng bị tác động, không tiết lộ giá trị tài sản bị đánh cắp, và cũng không nêu đích danh nhà cung cấp bên thứ ba trong thông báo chính thức.
Không phải lần đầu Polymarket gặp sự cố bảo mật
Đây không phải là lần đầu Polymarket đối mặt với các vấn đề liên quan đến bảo mật người dùng.
- Tháng 9/2024, nhiều tài khoản đăng nhập bằng Google từng phản ánh bị rút sạch ví USDC, khi kẻ tấn công sử dụng các lệnh proxy để chuyển tiền sang địa chỉ phishing. Khi đó, Polymarket cũng nghi ngờ nguyên nhân liên quan đến dịch vụ xác thực bên thứ ba.
- Tháng trước, một chiến dịch phishing khác lợi dụng phần bình luận trên Polymarket đã gây thiệt hại hơn 500.000 USD, khi kẻ gian đăng các đường link giả mạo dẫn người dùng tới trang đăng nhập email giả.
Cảnh báo cho người dùng
Chuỗi sự cố này một lần nữa cho thấy xác thực đăng nhập và trải nghiệm người dùng (UX) đang trở thành điểm yếu lớn trong các nền tảng Web3, đặc biệt với các giải pháp “đăng nhập bằng email” dành cho người mới.
