Polymarket admet que les fonds des utilisateurs ont été volés et que les services tiers de « connexion en un clic » sont devenus une vulnérabilité
Polymarket a signalé que des fonds avaient été volés la veille de Noël. La vulnérabilité provient du service de portefeuille tiers Magic Labs, mettant en évidence le seul point de risque derrière la commodité de Web3.
(Briefing préliminaire: Polymarket, le leader du marché de la prédiction, a annoncé qu'il construirait son propre L2. L'atout de Polygon a-t-il disparu? )
(Supplément de référence: Comment obtenir 40% de revenus annualisés grâce à l'arbitrage de Polymarket? )
Polymarket, le leader du marché de la prédiction cryptographique, a signalé que des fonds avaient été volés et de nombreux utilisateurs étaient furieux sur X et Reddit au petit matin de Le 24 décembre, "le solde du compte a été vidé".
La plateforme a immédiatement reconnu la faille de sécurité dans le Discord officiel et l'a signalé à un "fournisseur de services tiers". L'outil de suivi en chaîne Lookonchain a ensuite ciblé le fournisseur de services de portefeuille Magic Labs, faisant de cet incident la faille de sécurité la plus médiatisée sur le marché de la cryptographie fin 2025.
Officiellement, le problème a été corrigé, mais certaines personnes sont toujours inquiètes.
Moins d'une heure après que l'utilisateur a annoncé la nouvelle, Polymarket a publié une annonce:
Nous avons trouvé une vulnérabilité liée à un fournisseur de services tiers, qui a été corrigée. Seul un très petit nombre d’utilisateurs sont concernés et nous contacterons ces utilisateurs de manière proactive.
L'annonce n'a pas révélé le montant des pertes ni le nombre de victimes, mais elle a provoqué une plus grande panique. Selon le volume de transactions mensuelles de la plateforme Polymarket en 2025, on estime qu’il atteindra des milliards de dollars chaque mois. Même un « très petit nombre » peut entraîner des pertes élevées.
Contrairement aux attaques de phishing courantes, aucun lien suspect ne circulait au moment de l'incident, et de nombreuses victimes ont même activé la messagerie 2FA. La clé pour contourner la ligne de défense ne réside pas du côté de l’utilisateur, mais de l’authentification tierce en arrière-plan.
Le mécanisme de connexion de Magic Labs est devenu une faille
Pour abaisser le seuil, Polymarket a introduit la « génération de portefeuille non dépositaire par e-mail en un clic » de Magic Labs. Les utilisateurs n'ont pas besoin de conserver les mots mnémoniques et peuvent exploiter les actifs Ethereum en envoyant des codes de vérification. Cependant, l'attaquant exploite directement la vulnérabilité du système dans la couche d'authentification de Magic Labs pour prendre le contrôle du portefeuille, et 2FA équivaut à invalide.
Le flux actuel sur la chaîne montre que l'adresse du pirate informatique a divisé les actifs en peu de temps et mélangé les pièces à travers plusieurs couches, ce qui rend leur traçage plus difficile. Bien que le responsable ait déclaré qu'il "a été réparé", il n'a pas encore répondu à la demande de la communauté pour un rapport complet post-incident.
Dans le même temps, la société de sécurité SlowMist a averti GitHub de l'émergence de robots de copie malveillants de Polymarket, ciblant spécifiquement les acteurs avancés qui créent leurs propres scripts de trading. Ce programme lit le fichier de configuration local et envoie secrètement la clé privée. Bien qu’elle ne soit pas directement liée à la vulnérabilité de Magic Labs, elle a éclaté le même jour.
