Polymarket thừa nhận rằng tiền của người dùng đã bị đánh cắp và các dịch vụ của bên thứ ba "đăng nhập bằng một cú nhấp chuột" đã trở thành một lỗ hổng

Polymarket báo cáo rằng tiền đã bị đánh cắp vào đêm Giáng sinh. Lỗ hổng này bắt nguồn từ dịch vụ ví Magic Labs của bên thứ ba, nêu bật điểm rủi ro duy nhất đằng sau sự tiện lợi của Web3.
(Giới thiệu sơ bộ: Polymarket, công ty dẫn đầu thị trường dự đoán, đã thông báo rằng họ sẽ xây dựng L2 của riêng mình. Con át chủ bài của Polygon đã biến mất chưa? )
(Bổ sung nền tảng: Làm thế nào để đạt được 40% thu nhập hàng năm thông qua chênh lệch giá Polymarket? )

Polymarket, công ty dẫn đầu thị trường dự đoán tiền điện tử, đã báo cáo rằng tiền đã bị đánh cắp và nhiều người dùng đã tức giận trên X và Reddit vào sáng sớm ngày 24 tháng 12 rằng "số dư tài khoản đã trống."

Nền tảng này ngay lập tức thừa nhận lỗ hổng bảo mật trong Discord chính thức và chỉ ra "nhà cung cấp dịch vụ bên thứ ba". Công cụ theo dõi trên chuỗi Lookonchain sau đó đã nhắm mục tiêu vào nhà cung cấp dịch vụ ví Magic Labs, khiến sự cố này trở thành vụ vi phạm bảo mật nghiêm trọng nhất trên thị trường tiền điện tử vào cuối năm 2025.

Chính thức cho biết sự cố đã được khắc phục nhưng một số người vẫn lo lắng

Chưa đầy một giờ sau khi người dùng đăng tin, Polymarket đã đưa ra thông báo:

Chúng tôi đã tìm thấy một lỗ hổng liên quan đến nhà cung cấp dịch vụ bên thứ ba và lỗ hổng này đã được sửa. Chỉ một số lượng rất nhỏ người dùng bị ảnh hưởng và chúng tôi sẽ chủ động liên hệ với những người dùng này.

Thông báo không tiết lộ mức độ thiệt hại hay số lượng nạn nhân, nhưng nó gây ra sự hoảng loạn lớn hơn. Theo khối lượng giao dịch trong một tháng của nền tảng Polymarket vào năm 2025, người ta ước tính sẽ đạt hàng tỷ đô la mỗi tháng. Ngay cả một “con số rất nhỏ” cũng có thể dẫn đến tổn thất lớn.

Không giống như các cuộc tấn công lừa đảo thông thường, không có liên kết đáng ngờ nào lưu hành vào thời điểm xảy ra vụ việc và nhiều nạn nhân thậm chí còn kích hoạt email 2FA. Chìa khóa để vượt qua hàng phòng thủ không nằm ở phía người dùng mà nằm ở xác thực của bên thứ ba trong nền.

Cơ chế đăng nhập của Magic Labs đã trở thành một lỗ hổng

Để hạ thấp ngưỡng này, Polymarket đã giới thiệu “Tạo ví không lưu ký qua email chỉ bằng một cú nhấp chuột” của Magic Labs. Người dùng không cần phải ghi nhớ các từ và có thể vận hành tài sản Ethereum bằng cách gửi mã xác minh. Tuy nhiên, kẻ tấn công trực tiếp khai thác lỗ hổng hệ thống trong lớp xác thực Magic Labs để giành quyền kiểm soát ví và 2FA tương đương với không hợp lệ.

Dòng chảy hiện tại trên chuỗi cho thấy địa chỉ của hacker đã phân chia tài sản trong một khoảng thời gian ngắn và trộn lẫn các đồng tiền qua nhiều lớp, khiến việc truy tìm trở nên khó khăn hơn. Mặc dù quan chức này cho biết nó "đã được sửa chữa" nhưng vẫn chưa đáp ứng yêu cầu của cộng đồng về một báo cáo đầy đủ sau sự cố.

Đồng thời, công ty bảo mật SlowMist cảnh báo GitHub về sự xuất hiện của các robot sao chép Polymarket độc hại, đặc biệt nhắm mục tiêu vào những người chơi nâng cao, những người xây dựng tập lệnh giao dịch của riêng họ. Chương trình này đọc tệp cấu hình cục bộ và bí mật gửi khóa riêng. Mặc dù nó không liên quan trực tiếp đến lỗ hổng Magic Labs nhưng nó đã bùng phát vào cùng ngày.