Polymarket hat sich bemüht, einen neu entdeckten Sicherheitsvorfall einzudämmen, nachdem Benutzer unbefugten Zugriff und Verlust von Geldern in Verbindung mit einem externen Anmeldeservice gemeldet hatten.
Laut Cointelegraph bestätigte die Plattform für Vorhersagemärkte Polymarket, dass eine begrenzte Anzahl von Konten von einer Schwachstelle betroffen war, die von einem Drittanbieter-Authentifizierungsanbieter ausging, und nicht von der Kerninfrastruktur von Polymarket. Das Problem wurde öffentlich auf dem Discord der Plattform anerkannt, wo das Team erklärte, dass der Fehler identifiziert, behoben wurde und kein fortlaufendes Risiko darstellt.
Was ist passiert
Benutzer auf Reddit und X teilten ähnliche Geschichten über die Kompromittierung von Konten. In mehreren Fällen:
Mehrere unbefugte Anmeldeversuche wurden festgestellt
Die Kontostände wurden Berichten zufolge auf null entleert
Es wurden keine Phishing-Links oder Malware auf betroffenen Geräten gefunden
Ein Benutzer bemerkte, dass seine Polymarket-Brieftasche – erstellt mit Magic Labs – trotz keiner verdächtigen Aktivitäten anderswo geleert wurde, was Spekulationen anheizte, dass der Vorfall möglicherweise mit dem Anmeldefluss des Drittanbieters verbunden ist.
Reaktion der Plattform
Polymarket betonte, dass:
Die Schwachstelle vollständig behoben wurde
Es keine fortdauernde Bedrohung für Benutzer gibt
Betroffene Konten direkt kontaktiert werden
Das Unternehmen bekräftigte auch sein Engagement zur Verbesserung der Sicherheitskontrollen, insbesondere im Hinblick auf externe Integrationen.
Eine wiederkehrende Herausforderung
Dies ist nicht Polymarkets erste Begegnung mit Sicherheitsbedenken bezüglich Konten. Ende 2024 berichteten einige Benutzer von Kompromittierungen, die mit Google-basierten Anmeldemethoden verbunden waren, was ein größeres Problem der Branche hervorhebt: Bequemlichkeitsorientierte Authentifizierungstools können neue Angriffsflächen einführen.
🔐 Wichtige Erkenntnis:
Während Polymarket schnell handelte, um die Schwachstelle zu schließen, unterstreicht der Vorfall die Risiken, die mit der Authentifizierung durch Dritte auf Web3-Plattformen verbunden sind – und die Bedeutung von mehrschichtiger Sicherheit für Benutzerfonds.
