Polymarket: Włamania na konta poprzez autoryzację stron trzecich

Polymarket: Włamania na konta za pośrednictwem autoryzacji stron trzecich, wśród skarg dotyczących prób logowania i brakujących środków wśród niektórych użytkowników. W szczególności kilku użytkowników Reddita opisało serię prób logowania na swoich kontach Polymarket i późniejszą utratę środków, po czym platforma publicznie przyznała się do incydentu. Jeden z użytkowników Reddit opisał sytuację w następujący sposób:

"Dzisiaj obudziłem się i widzę 3 próby logowania do polymarket .... Poszedłem więc na Polymarket i zdałem sobie sprawę, że wszystkie moje transakcje zostały zamknięte, a saldo wynosi 0,01 $"

W komentarzach inni uczestnicy również powiązali ten problem ze scenariuszami logowania, w których użytkownik nie zmienił swoich praktyk bezpieczeństwa i nie kliknął żadnych linków, a mimo to nadal widział oznaki nieautoryzowanego dostępu i wypłat.

Zapoznaj się z naszymi kompleksowymi recenzjami na temat najlepszych legalnych giełd, ich funkcji, korzyści i ofert specjalnych!

Więcej informacji na temat incydentu i reakcji Polymarket

Polymarket opublikował oficjalną aktualizację na Discordzie i powiedział, że rozwiązał problem i nie widzi żadnego ciągłego ryzyka.

"Niedawno zidentyfikowaliśmy i rozwiązaliśmy problem bezpieczeństwa dotyczący niewielkiej liczby użytkowników. Problem był spowodowany luką wprowadzoną przez zewnętrznego dostawcę uwierzytelniania"

Polymarket dodał również, że zespół będzie kontynuował współpracę z dotkniętymi użytkownikami i nie spodziewa się dalszego rozwoju incydentu:

"Polymarket traktuje bezpieczeństwo niezwykle poważnie, a problem został naprawiony. W tej chwili nie ma ciągłego ryzyka i będziemy w kontakcie z użytkownikami, których to dotyczy"

Osobny wątek dyskusji koncentrował się na tym, w jaki sposób może powstać powierzchnia ataku wokół uwierzytelniania stron trzecich. Użytkownicy wyraźnie wskazywali na łańcuch, w którym atakujący musi jedynie ominąć kontrole w warstwie uwierzytelniania, aby uzyskać dostęp do konta bez narażania urządzenia użytkownika i bez typowych sygnałów phishingowych. W takim scenariuszu platforma może stanąć w obliczu sytuacji, w której użytkownik nadal uważa swoje lokalne zabezpieczenia za wystarczające, ale atakujący uzyskuje dostęp za pośrednictwem zewnętrznej warstwy uwierzytelniania, a następnie zamyka pozycje lub inicjuje wypłaty.

Niektóre komentarze wiązały dyskusję z Magic Labs i przepływem rejestracji, który ekosystem często wykorzystuje do przyspieszenia wdrażania użytkowników, którzy nie chcą zaczynać od samodzielnej opieki. I chociaż Polymarket nie wymienił konkretnego dostawcy w swojej publicznej aktualizacji, bezpośrednio powiązał przyczynę z zewnętrznym dostawcą uwierzytelniania, potwierdzając tym samym kluczowy wymiar techniczny incydentu. Aktualizacja dotyczyła kwestii uwierzytelniania zewnętrznego, ale nie opisywała żadnych problemów związanych z realizacją transakcji ani podstawową infrastrukturą sieci. Równolegle dyskusja poruszyła kwestię powtarzalności: użytkownicy przypomnieli sobie wcześniejsze przypadki, w których kompromitacja logowania lub inżynieria społeczna wokół loginów doprowadziły do strat, a platforma następnie przeanalizowała incydenty na poziomie uwierzytelniania stron trzecich.

Zapoznaj się z naszym kompleksowym zestawieniem dotyczącym Multisig Wallet: Co to jest Multisig i kiedy warto z niego skorzystać?

Wnioski

Jeśli Polymarket utrzyma swoje stanowisko "braku bieżącego ryzyka" i zacznie kontaktować się z użytkownikami, których to dotyczy, użytkownicy i rynek skupią się na jakości kontroli uwierzytelniania stron trzecich: w jaki sposób platforma ogranicza wpływ naruszenia sesji, jak szybko flaguje anomalie wzorców logowania i jak komunikuje granicę odpowiedzialności między wewnętrznym dostępem do konta a zewnętrznym dostawcą uwierzytelniania.

Z kolei dla użytkowników jest to kolejny powód, aby rozważyć, że chociaż samodzielna kontrola wymaga dodatkowej dyscypliny, może zapewnić znacznie większą kontrolę nad dostępem i środkami. Uzyskaj więcej informacji z naszych przewodników dla początkujących i profesjonalistów i bądź na bieżąco z najnowszymi aktualizacjami i możliwościami w nowej gospodarce, branży kryptowalut i rozwoju blockchain!