Polymarket: Взломы аккаунтов через сторонние авторизации

Polymarket: Взломы аккаунтов через сторонние аутентификаторы, на фоне жалоб на попытки входа и пропажу средств у некоторых пользователей. В частности, несколько пользователей Reddit рассказали о серии попыток входа в свои аккаунты Polymarket и последующей потере средств, после чего платформа публично признала инцидент. Один из пользователей Reddit описал ситуацию следующим образом:

"Сегодня я проснулся и увидел 3 попытки входа в Polymarket... Я зашел в Polymarket и понял, что все мои сделки закрыты, а баланс составляет 0,01$"

В комментариях другие участники также связывали проблему со сценариями входа, когда пользователь не менял свои методы безопасности и не переходил по ссылкам, но все равно видел признаки несанкционированного доступа и снятия средств.

Ознакомьтесь с нашими подробными обзорами лучших легальных бирж, их особенностями, преимуществами и специальными предложениями!

Подробнее об инциденте и реакции Polymarket

Polymarket опубликовал официальное обновление на Discord и сообщил, что решил проблему и не видит никакого постоянного риска.

"Недавно мы обнаружили и устранили проблему безопасности, затронувшую небольшое количество пользователей. Проблема была вызвана уязвимостью, внесенной сторонним провайдером аутентификации"

Polymarket также добавил, что команда продолжит работу с пострадавшими пользователями и не ожидает дальнейшего развития инцидента:

"Polymarket очень серьезно относится к безопасности, и проблема была устранена. На данный момент нет никакого постоянного риска, и мы будем поддерживать контакт с пострадавшими пользователями"

Отдельная ветка обсуждений была посвящена тому, как может формироваться поверхность атаки вокруг аутентификации третьих лиц. Пользователи прямо указали на цепочку, в которой злоумышленнику достаточно обойти элементы управления на уровне аутентификации, чтобы получить доступ к учетной записи без компрометации устройства пользователя и без типичных фишинговых сигналов. В этом случае платформа может столкнуться с ситуацией, когда пользователь продолжает считать свою локальную безопасность достаточной, но злоумышленник получает доступ через внешний уровень аутентификации и затем закрывает позиции или инициирует вывод средств.

Некоторые комментарии связали обсуждение с Magic Labs и с потоком регистрации, который экосистема часто использует для ускорения процесса регистрации пользователей, не желающих начинать с самостоятельной регистрации. И хотя Polymarket не назвала конкретного поставщика в своем публичном обновлении, она напрямую связала причину со сторонним поставщиком услуг аутентификации и тем самым подтвердила ключевой технический аспект инцидента. В обновлении проблема была связана с внешней аутентификацией, но не было описано никаких проблем с исполнением торговых операций или основной инфраструктурой сети. Параллельно в ходе обсуждения был поднят вопрос о повторяемости: пользователи вспомнили предыдущие случаи, когда компрометация логина или социальная инженерия вокруг логинов приводили к убыткам, и тогда платформа рассмотрела инциденты на уровне аутентификации третьей стороны.

Получите наш полный обзор кошелька Multisig: Что такое Multisig и когда его стоит использовать?

Заключение

Если Polymarket сохранит свою позицию "нет постоянного риска" и начнет связываться с пострадавшими пользователями, пользователи и рынок сосредоточатся на качестве контроля аутентификации третьих сторон: как платформа ограничивает влияние компрометации сеанса, как быстро она выявляет аномальные шаблоны входа и как она сообщает о границе ответственности между внутренним доступом к учетной записи и внешним провайдером аутентификации.

В свою очередь, для пользователей это еще один повод задуматься о том, что, хотя самостоятельное обеспечение безопасности требует дополнительной дисциплины, оно может обеспечить значительно больший контроль над доступом и средствами. Получите больше информации из наших руководств для новичков и профессионалов, а также следите за последними обновлениями и возможностями в новой экономике, криптоиндустрии и блокчейне!