Polymarket xác nhận một sự cố bảo mật do lỗ hổng từ nhà cung cấp xác thực bên thứ ba đã khiến một số tài khoản người dùng bị rút sạch tài sản.
Polymarket xác nhận sự cố bảo mật, một số tài khoản bị rút sạch tiền
Vào ngày 24/12, nền tảng prediction market hàng đầu trong thị trường crypto Polymarket đã chính thức xác nhận dự án gặp phải sự cố bảo mật khiến một số tài khoản người dùng bị thất thoát toàn bộ số dư.
Người dùng phát hiện tài khoản bị xâm nhập dù không click link lạ
- Thông tin này được Polymarket công bố sau nhiều ngày cộng đồng lan truyền các báo cáo bị bòn rút ví trên Reddit và X, làm dấy lên lo ngại về mức độ an toàn của nền tảng prediction market lớn nhất thị trường hiện nay.
- Các báo cáo ban đầu xuất hiện từ đầu tuần, khi nhiều người dùng cho biết họ nhận được nhiều thông báo về lượt đăng nhập bất thường, trước khi phát hiện toàn bộ vị thế giao dịch đã bị đóng và số dư gần như về 0.
- Đáng chú ý, một số nạn nhân cho biết họ không hề click vào link phishing, không cài extension lạ, và các dịch vụ khác vẫn hoạt động bình thường, khiến nghi vấn nhanh chóng hướng về hệ thống đăng nhập của Polymarket thay vì lỗi từ phía người dùng.
Polymarket lên tiếng, khẳng định lỗi đến từ bên cung cấp xác thực thứ ba
- Trước làn sóng phản ánh từ cộng đồng, Polymarket đã chính thức lên tiếng trên kênh Discord của dự án, xác nhận nền tảng này vừa trải qua một sự cố bảo mật ảnh hưởng đến một số lượng hạn chế người dùng.
- Theo Polymarket, lỗ hổng không nằm ở smart contract hay hạ tầng cốt lõi của giao thức, mà bắt nguồn từ một nhà cung cấp dịch vụ xác thực bên thứ ba được tích hợp vào quá trình đăng nhập.
- Dự án cho biết sự cố đã được phát hiện và khắc phục hoàn toàn, đồng thời khẳng định hiện tại không còn rủi ro bảo mật tiếp diễn và phần lớn người dùng không bị ảnh hưởng.
- Polymarket cũng cam kết sẽ chủ động liên hệ trực tiếp với các tài khoản bị tác động để xử lý các bước tiếp theo. Tuy vậy, nền tảng này không công bố cụ thể số lượng người dùng bị ảnh hưởng, giá trị tài sản bị thất thoát, cũng như không nêu đích danh nhà cung cấp xác thực bên thứ ba liên quan đến sự cố, điều khiến cộng đồng vẫn còn nhiều câu hỏi chưa được giải đáp.
Magic Labs bị cộng đồng nhắc tên
- Dù Polymarket không công bố danh tính nhà cung cấp xác thực bên thứ ba liên quan đến sự cố, nhiều người dùng trong cộng đồng cho rằng Magic Labs rất có thể là mắt xích dẫn đến vụ việc lần này.
- Magic Labs là dịch vụ đăng nhập bằng email được tích hợp trực tiếp vào Polymarket, cho phép người dùng tạo ví phi lưu ký mà không cần quản lý seed phrase hay cài đặt ví truyền thống. Giải pháp này thường được đánh giá cao nhờ khả năng giảm đáng kể rào cản onboarding, giúp người mới dễ dàng tiếp cận crypto thông qua trải nghiệm gần giống Web2.
- Tuy nhiên, chính mô hình này cũng thường xuyên làm dấy lên lo ngại về bề mặt tấn công bảo mật. Trên X, một người dùng cho biết ví Polymarket của họ đã bị rút sạch dù không hề click link lạ hay nhận email phishing, đồng thời xác nhận tài khoản được tạo thông qua Magic Labs.
- Những phản ánh tương tự khiến cộng đồng đặt câu hỏi liệu các lỗ hổng trong cơ chế xác thực bằng email có tiếp tục trở thành điểm yếu, đặc biệt trong bối cảnh Magic Labs từng bị nhắc tên trong các sự cố bảo mật liên quan đến nền tảng prediction market trước đây.
Không phải lần đầu Polymarket gặp sự cố
- Đây không phải là lần đầu tiên Polymarket đối mặt với các sự cố bảo mật liên quan đến bên thứ ba. Trước đó, vào tháng 09/2024, một số người dùng đăng nhập Polymarket thông qua tài khoản Google đã báo cáo bị rút sạch USDC trong ví, với hình thức tấn công thông qua các proxy function call; khi ấy, Polymarket cũng từng điều tra theo hướng lỗ hổng đến từ nhà cung cấp xác thực bên ngoài.
- Tiếp đó, vào tháng 11/2025, nền tảng này lại hứng chịu một chiến dịch phishing quy mô lớn, khi kẻ gian lợi dụng phần bình luận để đăng các đường link giả mạo, dẫn dụ người dùng đăng nhập và gây thiệt hại hơn 500.000 USD.
- Chuỗi sự cố này cho thấy một rủi ro mang tính hệ thống đang tồn tại, không nằm ở smart contract cốt lõi của giao thức, mà ở lớp trải nghiệm người dùng và cơ chế xác thực lai giữa Web2 và Web3.
Coin68 tổng hợp
