Polymarket ยอมรับว่าเงินของผู้ใช้ถูกขโมย และบริการของบุคคลที่สาม "เข้าสู่ระบบด้วยคลิกเดียว" ได้กลายเป็นช่องโหว่
Polymarket รายงานว่าเงินถูกขโมยในวันคริสต์มาสอีฟ ช่องโหว่ดังกล่าวเกิดขึ้นจากบริการกระเป๋าเงินของบุคคลที่สามอย่าง Magic Labs โดยเน้นถึงความเสี่ยงจุดเดียวที่อยู่เบื้องหลังความสะดวกสบายของ Web3
(การบรรยายสรุปเบื้องต้น: Polymarket ผู้นำในตลาดการทำนาย ประกาศว่าจะสร้าง L2 ของตัวเอง ทรัมป์การ์ดของ Polygon หายไปแล้วหรือยัง )
(ส่วนเสริมเบื้องหลัง: วิธีสร้างรายได้ต่อปี 40% ผ่านการเก็งกำไรของ Polymarket )
Polymarket ผู้นำในตลาดการทำนาย crypto รายงานว่าเงินถูกขโมย และผู้ใช้จำนวนมากโกรธ X และ Reddit ในตอนเช้าตรู่ของ 24 ธันวาคม ว่า “ยอดเงินในบัญชีหมด”
แพลตฟอร์มยอมรับข้อบกพร่องด้านความปลอดภัยใน Discord อย่างเป็นทางการทันที และชี้ไปที่ "ผู้ให้บริการบุคคลที่สาม" เครื่องมือติดตามออนไลน์ Lookonchain ได้กำหนดเป้าหมายผู้ให้บริการกระเป๋าเงิน Magic Labs ในเวลาต่อมา ทำให้เหตุการณ์นี้เป็นการละเมิดความปลอดภัยที่มีชื่อเสียงที่สุดในตลาด crypto ในช่วงปลายปี 2025
กล่าวอย่างเป็นทางการว่าได้รับการแก้ไขแล้ว แต่บางคนยังคงกังวล
น้อยกว่าหนึ่งชั่วโมงหลังจากที่ผู้ใช้แจ้งข่าว Polymarket ก็ออกประกาศ:
เราพบช่องโหว่ที่เกี่ยวข้องกับผู้ให้บริการบุคคลที่สาม ซึ่งได้รับการแก้ไขแล้ว มีผู้ใช้จำนวนน้อยมากเท่านั้นที่ได้รับผลกระทบ และเราจะติดต่อผู้ใช้เหล่านี้ในเชิงรุก
การประกาศไม่ได้เปิดเผยจำนวนการสูญเสียหรือจำนวนเหยื่อ แต่ทำให้เกิดความตื่นตระหนกมากขึ้น ตามปริมาณธุรกรรมต่อเดือนของแพลตฟอร์ม Polymarket ในปี 2568 คาดว่าจะมีมูลค่าหลายพันล้านดอลลาร์ทุกเดือน แม้แต่ “จำนวนที่น้อยมาก” ก็อาจส่งผลให้เกิดการสูญเสียสูง
ไม่เหมือนกับการโจมตีแบบฟิชชิ่งทั่วไป คือไม่มีลิงก์ที่น่าสงสัยเผยแพร่ในขณะที่เกิดเหตุการณ์ และเหยื่อจำนวนมากถึงกับเปิดใช้งานอีเมล 2FA กุญแจสำคัญในการข้ามแนวป้องกันไม่ได้อยู่ที่ฝั่งผู้ใช้ แต่อยู่ที่การตรวจสอบสิทธิ์ของบุคคลที่สามในเบื้องหลัง
กลไกการเข้าสู่ระบบ Magic Labs กลายเป็นช่องโหว่
เพื่อลดเกณฑ์ Polymarket ได้เปิดตัว Magic Labs "การสร้างกระเป๋าเงินแบบไม่ต้องดูแลทางอีเมลด้วยคลิกเดียว" ผู้ใช้ไม่จำเป็นต้องเก็บคำช่วยในการจำและสามารถใช้งานสินทรัพย์ Ethereum ได้โดยการส่งรหัสยืนยัน อย่างไรก็ตาม ผู้โจมตีใช้ประโยชน์จากช่องโหว่ของระบบในชั้นการรับรองความถูกต้องของ Magic Labs โดยตรงเพื่อเข้าควบคุมกระเป๋าเงิน และ 2FA ก็เทียบเท่ากับช่องโหว่ที่ไม่ถูกต้อง
กระแสปัจจุบันบนห่วงโซ่แสดงให้เห็นว่าที่อยู่ของแฮ็กเกอร์แบ่งสินทรัพย์ในช่วงเวลาสั้น ๆ และผสมเหรียญผ่านหลายชั้น ทำให้ยากต่อการติดตาม แม้ว่าเจ้าหน้าที่จะกล่าวว่า "ได้รับการซ่อมแซมแล้ว" แต่ยังไม่ได้ตอบสนองต่อคำร้องขอของชุมชนที่ต้องการรายงานหลังเหตุการณ์ฉบับสมบูรณ์
ในเวลาเดียวกัน บริษัทรักษาความปลอดภัย SlowMist เตือน GitHub ถึงการปรากฏตัวของหุ่นยนต์คัดลอก Polymarket ที่เป็นอันตราย โดยเฉพาะอย่างยิ่งการกำหนดเป้าหมายผู้เล่นขั้นสูงที่สร้างสคริปต์การซื้อขายของตนเอง โปรแกรมนี้อ่านไฟล์การกำหนดค่าในเครื่องและส่งรหัสส่วนตัวอย่างลับๆ แม้ว่าจะไม่เกี่ยวข้องโดยตรงกับช่องโหว่ของ Magic Labs แต่ก็เกิดขึ้นในวันเดียวกัน
