Polymarket bestätigt, dass bei einem Drittanbieter-Authentifizierungsdienst eine Sicherheitslücke aufgetreten ist, die dazu führte, dass auch Nutzer mit aktivierter 2FA ihre Vermögenswerte verloren haben. Die Plattform hat den Fehler behoben und verspricht, die Betroffenen zu kontaktieren.
Im Zusammenhang mit kürzlichen Fällen, bei denen Nutzer durch Hackerangriffe Vermögenswerte verloren haben, bestätigte die dezentrale Prognosemarktplattform Polymarket am Dienstag, dass der Angriff auf eine Sicherheitslücke bei einem Drittanbieter-Authentifizierungsdienst zurückzuführen ist.
Nicht auf Phishing-Links geklickt, doppelte Authentifizierung aktiviert – Konto dennoch geleert
Dieses Sicherheitsvorfall begann Anfang dieser Woche an Fahrt aufzunehmen. Viele Nutzer veröffentlichten auf Reddit und X Hilfegesuche, in denen sie die Tragödie schilderten, dass ihre Konten plötzlich leer waren. Einer der Nutzer schrieb im Reddit-Forum:
Heute Morgen, als ich aufwachte, erhielt ich drei Benachrichtigungen über Versuche, mich bei Polymarket anzumelden. Mein Gerät wurde nicht gestohlen, auch mein Google-Konto zeigte keine Anomalien, aber als ich sofort bei Polymarket einloggte, stellte ich fest, dass alle Trades geschlossen wurden und mein Kontostand nur noch 0,01 USD beträgt.
Ein weiterer Betroffener im Forum berichtete, dass er nach drei Anmeldewarnungen ebenfalls ausgeraubt wurde. Er betonte, dass er niemals auf Phishing-Links geklickt habe und sogar die Zwei-Faktor-Authentifizierung (2FA) aktiviert hatte, dennoch konnten die Hacker sein Konto kompromittieren.
Laut einer Zusammenstellung von Opferdaten in den sozialen Medien scheint der Angriff gezielt Nutzer zu betreffen, die sich über Magic Labs bei Polymarket registriert haben.
Magic Labs ist ein Drittanbieter-Service, der speziell für Krypto-Neulinge entwickelt wurde, um sich mit E-Mail zu registrieren und eine Wallet zu erstellen, ohne komplexe private Schlüssel verwalten zu müssen. Das System generiert automatisch im Hintergrund eine „nicht verwahrte Ethereum-Wallet“.
Obwohl Magic Labs den Einstieg in die Krypto-Welt erleichtert, zeigt dieser Angriff, dass eine scheinbar bequeme Drittanbieter-Authentifizierungsdienst bei Sicherheitslücken eine Einfallstür für Hacker sein kann.
Nach mehreren Tagen Stille reagierte Polymarket am Dienstag schließlich in seinem offiziellen Discord-Kanal:
Wir haben kürzlich eine Sicherheitslücke entdeckt und behoben, die nur eine kleine Nutzergruppe betroffen hat. Dieser Vorfall wurde durch eine Schwachstelle bei einem Drittanbieter-Authentifizierungsdienst verursacht.
Allerdings nannte Polymarket keine genauen Zahlen der Betroffenen oder den Gesamtbetrag der gestohlenen Gelder und nannte auch nicht den Namen des beteiligten Drittanbieters. Die Plattform betonte lediglich, dass die Sicherheitslücke behoben wurde und derzeit keine anhaltenden Risiken bestehen.
Polymarket ergänzte, dass alle betroffenen Nutzer kontaktiert werden. Ob die Verluste vollständig ersetzt werden, ist noch unklar und wird noch bekannt gegeben.
- Der Artikel wurde mit Genehmigung von: 《区块客》
- Originaltitel: 《醒來驚見帳戶剩 0.01 美元!Polymarket 證實部分用戶被盜、第三方漏洞所致》
- Originalautor: 区块妹 MEL
Disclaimer: The information on this page may come from third parties and does not represent the views or opinions of Gate. The content displayed on this page is for reference only and does not constitute any financial, investment, or legal advice. Gate does not guarantee the accuracy or completeness of the information and shall not be liable for any losses arising from the use of this information. Virtual asset investments carry high risks and are subject to significant price volatility. You may lose all of your invested principal. Please fully understand the relevant risks and make prudent decisions based on your own financial situation and risk tolerance. For details, please refer to
Disclaimer.
