Polymarket ยอมรับว่าเงินของผู้ใช้ถูกขโมย และบริการของบุคคลที่สาม "เข้าสู่ระบบด้วยคลิกเดียว" ได้กลายเป็นช่องโหว่

👤 energys@Claire 📅 2026-02-09 17:11:58

Polymarket รายงานว่าเงินถูกขโมยในวันคริสต์มาสอีฟ ช่องโหว่ดังกล่าวเกิดขึ้นจากบริการกระเป๋าเงินของบุคคลที่สามอย่าง Magic Labs โดยเน้นถึงความเสี่ยงจุดเดียวที่อยู่เบื้องหลังความสะดวกสบายของ Web3
(การบรรยายสรุปเบื้องต้น: Polymarket ผู้นำในตลาดการทำนาย ประกาศว่าจะสร้าง L2 ของตัวเอง ทรัมป์การ์ดของ Polygon หายไปแล้วหรือยัง )
(ส่วนเสริมเบื้องหลัง: วิธีสร้างรายได้ต่อปี 40% ผ่านการเก็งกำไรของ Polymarket )

Polymarket ผู้นำในตลาดการทำนาย crypto รายงานว่าเงินถูกขโมย และผู้ใช้จำนวนมากโกรธ X และ Reddit ในตอนเช้าตรู่ของ 24 ธันวาคม ว่า “ยอดเงินในบัญชีหมด”

แพลตฟอร์มยอมรับข้อบกพร่องด้านความปลอดภัยใน Discord อย่างเป็นทางการทันที และชี้ไปที่ "ผู้ให้บริการบุคคลที่สาม" เครื่องมือติดตามออนไลน์ Lookonchain ได้กำหนดเป้าหมายผู้ให้บริการกระเป๋าเงิน Magic Labs ในเวลาต่อมา ทำให้เหตุการณ์นี้เป็นการละเมิดความปลอดภัยที่มีชื่อเสียงที่สุดในตลาด crypto ในช่วงปลายปี 2025

กล่าวอย่างเป็นทางการว่าได้รับการแก้ไขแล้ว แต่บางคนยังคงกังวล

น้อยกว่าหนึ่งชั่วโมงหลังจากที่ผู้ใช้แจ้งข่าว Polymarket ก็ออกประกาศ:

เราพบช่องโหว่ที่เกี่ยวข้องกับผู้ให้บริการบุคคลที่สาม ซึ่งได้รับการแก้ไขแล้ว มีผู้ใช้จำนวนน้อยมากเท่านั้นที่ได้รับผลกระทบ และเราจะติดต่อผู้ใช้เหล่านี้ในเชิงรุก

การประกาศไม่ได้เปิดเผยจำนวนการสูญเสียหรือจำนวนเหยื่อ แต่ทำให้เกิดความตื่นตระหนกมากขึ้น ตามปริมาณธุรกรรมต่อเดือนของแพลตฟอร์ม Polymarket ในปี 2568 คาดว่าจะมีมูลค่าหลายพันล้านดอลลาร์ทุกเดือน แม้แต่ “จำนวนที่น้อยมาก” ก็อาจส่งผลให้เกิดการสูญเสียสูง

ไม่เหมือนกับการโจมตีแบบฟิชชิ่งทั่วไป คือไม่มีลิงก์ที่น่าสงสัยเผยแพร่ในขณะที่เกิดเหตุการณ์ และเหยื่อจำนวนมากถึงกับเปิดใช้งานอีเมล 2FA กุญแจสำคัญในการข้ามแนวป้องกันไม่ได้อยู่ที่ฝั่งผู้ใช้ แต่อยู่ที่การตรวจสอบสิทธิ์ของบุคคลที่สามในเบื้องหลัง

กลไกการเข้าสู่ระบบ Magic Labs กลายเป็นช่องโหว่

เพื่อลดเกณฑ์ Polymarket ได้เปิดตัว Magic Labs "การสร้างกระเป๋าเงินแบบไม่ต้องดูแลทางอีเมลด้วยคลิกเดียว" ผู้ใช้ไม่จำเป็นต้องเก็บคำช่วยในการจำและสามารถใช้งานสินทรัพย์ Ethereum ได้โดยการส่งรหัสยืนยัน อย่างไรก็ตาม ผู้โจมตีใช้ประโยชน์จากช่องโหว่ของระบบในชั้นการรับรองความถูกต้องของ Magic Labs โดยตรงเพื่อเข้าควบคุมกระเป๋าเงิน และ 2FA ก็เทียบเท่ากับช่องโหว่ที่ไม่ถูกต้อง

กระแสปัจจุบันบนห่วงโซ่แสดงให้เห็นว่าที่อยู่ของแฮ็กเกอร์แบ่งสินทรัพย์ในช่วงเวลาสั้น ๆ และผสมเหรียญผ่านหลายชั้น ทำให้ยากต่อการติดตาม แม้ว่าเจ้าหน้าที่จะกล่าวว่า "ได้รับการซ่อมแซมแล้ว" แต่ยังไม่ได้ตอบสนองต่อคำร้องขอของชุมชนที่ต้องการรายงานหลังเหตุการณ์ฉบับสมบูรณ์

ในเวลาเดียวกัน บริษัทรักษาความปลอดภัย SlowMist เตือน GitHub ถึงการปรากฏตัวของหุ่นยนต์คัดลอก Polymarket ที่เป็นอันตราย โดยเฉพาะอย่างยิ่งการกำหนดเป้าหมายผู้เล่นขั้นสูงที่สร้างสคริปต์การซื้อขายของตนเอง โปรแกรมนี้อ่านไฟล์การกำหนดค่าในเครื่องและส่งรหัสส่วนตัวอย่างลับๆ แม้ว่าจะไม่เกี่ยวข้องโดยตรงกับช่องโหว่ของ Magic Labs แต่ก็เกิดขึ้นในวันเดียวกัน

ฉลาก：

นโยบาย

แบ่งปัน：

FB X YT IG

กล่าวอย่างเป็นทางการว่าได้รับการแก้ไขแล้ว แต่บางคนยังคงกังวล

กลไกการเข้าสู่ระบบ Magic Labs กลายเป็นช่องโหว่

energys@Claire

ความคิดเห็น (10)

เพิ่มความคิดเห็น

เนื้อหาที่เกี่ยวข้อง

Le battage médiatique DAT est-il en train de mourir ? La SEC enquête sur 200 « sociétés de trésorerie crypto » pour délit d'initié

TIR SEC ! Suspension des opérations boursières des sociétés de réserves cryptographiques QMMM et SDM: impliquant manipulation de prix et spéculation

Le fondateur de Tornado Cash mixer est sorti de prison ! Le tribunal suspend la détention provisoire d'Alexeï Pertsev, V God a retweeté son soutien

Le robot Ethereum MEV blanchit-il de l’argent ? Un tribunal américain entend pour la première fois le cas des frères du MIT, 25 millions de mg d'arbitrage sandwich impliquent une fraude

Musk veut que tous les fonctionnaires américains « expliquent ce qu’ils ont fait la semaine dernière, sinon ils seront licenciés » ! Toutes les grandes agences gouvernementales ont ordonné : Ignorez-le

Do Kwon condamné à 15 ans de prison, juge : peine sévère pour arrêter le prochain désastre de LUNA de 40 milliards de dollars

เนื้อหายอดนิยม

Le patron russe du darknet "Moriarty" Solana émet la monnaie mème $MORI, gère 3,2 millions de chaînes et se fait appeler l'empereur du crime

Le gouvernement britannique envoie 65 000 lettres fiscales à la fois: avertissant les utilisateurs de cryptomonnaies de déclarer leurs impôts honnêtement

Le premier cas à Taiwan ! La Commonwealth Bank coopère avec MaiCoin pour lancer officiellement « Virtual Asset Custody Pilot Business »

Le pool de liquidité Cetus du protocole en chaîne SUI est soupçonné d'être piraté ! La paire de trading a chuté anormalement de plus de 70%

Do Kwon plaide coupable de fraude: j'ai trompé les investisseurs qui ont acheté UST/LUNA, je suis vraiment désolé... J'espère obtenir une réduction de peine substantielle

Le Parti démocrate a proposé le « Clean Cloud Act » pour obliger les sociétés minières américaines de Bitcoin et les centres informatiques d'IA à adopter l'énergie verte : atteindre zéro émission de carbone d'ici 2035.

ส่วนที่เกี่ยวข้อง

เนื้อหายอดนิยม