पॉलीमार्केट स्वीकार करता है कि उपयोगकर्ता धन की चोरी हो गई है, और "वन-क्लिक लॉगिन" तृतीय-पक्ष सेवाएँ एक भेद्यता बन गई हैं

पॉलीमार्केट ने बताया कि क्रिसमस की पूर्व संध्या पर धन की चोरी हुई थी। भेद्यता तृतीय-पक्ष वॉलेट सेवा मैजिक लैब्स से उत्पन्न हुई, जो वेब3 की सुविधा के पीछे जोखिम के एकल बिंदु को उजागर करती है।
(प्रारंभिक ब्रीफिंग: भविष्यवाणी बाजार में अग्रणी पॉलीमार्केट ने घोषणा की कि वह अपना स्वयं का L2 बनाएगा। क्या पॉलीगॉन का तुरुप का पत्ता चला गया है? )
(पृष्ठभूमि पूरक: पॉलीमार्केट मध्यस्थता के माध्यम से 40% वार्षिक आय कैसे प्राप्त करें?)

क्रिप्टो भविष्यवाणी बाजार में अग्रणी पॉलीमार्केट ने बताया कि फंड चोरी हो गए थे, और कई उपयोगकर्ता एक्स और रेडिट पर नाराज थे 24 दिसंबर की सुबह-सुबह कि "खाता शेष खाली हो गया।"

प्लेटफ़ॉर्म ने तुरंत आधिकारिक डिस्कॉर्ड में सुरक्षा दोष को स्वीकार किया और इसे "तृतीय-पक्ष सेवा प्रदाता" की ओर इंगित किया। ऑन-चेन ट्रैकिंग टूल लुकऑनचैन ने बाद में वॉलेट सेवा प्रदाता मैजिक लैब्स को लक्षित किया, जिससे यह घटना 2025 के अंत में क्रिप्टो बाजार में सबसे हाई-प्रोफाइल सुरक्षा उल्लंघन बन गई।

आधिकारिक तौर पर कहा गया कि इसे ठीक कर दिया गया है, लेकिन कुछ लोग अभी भी चिंतित हैं

उपयोगकर्ता द्वारा खबर तोड़ने के एक घंटे से भी कम समय के बाद, पॉलीमार्केट ने एक घोषणा जारी की:

हमें एक तृतीय-पक्ष सेवा प्रदाता से संबंधित एक भेद्यता मिली, जिसने ठीक कर दिया गया. केवल बहुत कम संख्या में उपयोगकर्ता प्रभावित हुए हैं, और हम सक्रिय रूप से इन उपयोगकर्ताओं से संपर्क करेंगे।

घोषणा में नुकसान की मात्रा या पीड़ितों की संख्या का खुलासा नहीं किया गया, लेकिन इससे अधिक घबराहट हुई। पॉलीमार्केट के प्लेटफॉर्म के अनुसार 2025 में एक महीने के लेनदेन की मात्रा का अनुमान है कि यह हर महीने अरबों डॉलर होगा। यहां तक कि "बहुत छोटी संख्या" के परिणामस्वरूप भी अधिक नुकसान हो सकता है।

आम फ़िशिंग हमलों के विपरीत, घटना के समय कोई भी संदिग्ध लिंक प्रसारित नहीं हो रहा था, और कई पीड़ितों ने ईमेल 2एफए भी सक्षम किया था। रक्षा पंक्ति को बायपास करने की कुंजी उपयोगकर्ता की ओर नहीं, बल्कि पृष्ठभूमि में तृतीय-पक्ष प्रमाणीकरण पर है।

मैजिक लैब्स लॉगिन तंत्र एक खामी बन गया है

सीमा को कम करने के लिए, पॉलीमार्केट ने मैजिक लैब्स की "ईमेल वन-क्लिक नॉन-कस्टोडियल वॉलेट जेनरेशन" की शुरुआत की। उपयोगकर्ताओं को स्मरणीय शब्द रखने की आवश्यकता नहीं है और वे सत्यापन कोड भेजकर एथेरियम परिसंपत्तियों को संचालित कर सकते हैं। हालाँकि, वॉलेट पर नियंत्रण पाने के लिए हमलावर सीधे मैजिक लैब्स प्रमाणीकरण परत में सिस्टम भेद्यता का फायदा उठाता है, और 2FA अमान्य के बराबर है।

श्रृंखला पर वर्तमान प्रवाह से पता चलता है कि हैकर पते ने थोड़े समय में संपत्तियों को विभाजित कर दिया और सिक्कों को कई परतों के माध्यम से मिश्रित कर दिया, जिससे इसे ट्रैक करना अधिक कठिन हो गया। हालाँकि अधिकारी ने कहा कि इसकी "मरम्मत कर दी गई है", लेकिन इसने अभी तक घटना के बाद की पूरी रिपोर्ट के लिए समुदाय के अनुरोध का जवाब नहीं दिया है।

उसी समय, सुरक्षा कंपनी स्लोमिस्ट ने गिटहब को दुर्भावनापूर्ण पॉलीमार्केट कॉपी रोबोट के उद्भव के बारे में चेतावनी दी, जो विशेष रूप से उन्नत खिलाड़ियों को लक्षित करते हैं जो अपनी स्वयं की ट्रेडिंग स्क्रिप्ट बनाते हैं। यह प्रोग्राम स्थानीय कॉन्फ़िगरेशन फ़ाइल को पढ़ता है और गुप्त रूप से निजी कुंजी भेजता है। हालाँकि यह सीधे तौर पर मैजिक लैब्स की भेद्यता से संबंधित नहीं है, यह उसी दिन सामने आया।