Los activos de los usuarios han sido vaciados, Polymarket confirma que una verificación de terceros falló y fue objetivo de un ataque de hackers

Polymarket confirma que un servicio de verificación de terceros tiene una vulnerabilidad que permitió a hackers vaciar fondos incluso en cuentas con 2FA activado. La plataforma ha corregido la falla y se compromete a contactar a los afectados.

En relación con recientes casos de usuarios que han sido víctimas de hackeos y robo de fondos, la plataforma de mercado de predicción descentralizado Polymarket confirmó el martes que el incidente fue causado por una vulnerabilidad en el proveedor de servicios de verificación de identidad de terceros.

No hacer clic en enlaces de phishing, activar la doble verificación, pero aún así se vacían las cuentas

Este incidente de seguridad comenzó a difundirse a principios de esta semana, con muchos usuarios publicando en Reddit y X solicitando ayuda, describiendo en detalle la tragedia de fondos desaparecidos de sus cuentas. Uno de los usuarios en Reddit comentó:

Esta mañana, al abrir los ojos, vi una notificación en mi teléfono de 3 intentos de inicio de sesión en Polymarket. Mi dispositivo no fue hackeado, mi cuenta de Google está normal, pero al ingresar a Polymarket, descubrí que todas las operaciones habían sido cerradas y mi saldo era solo de 0.01 dólares.

Otro usuario en el foro también sufrió un ataque similar: tras recibir 3 alertas de inicio de sesión, los fondos en su cuenta fueron robados. Lo inquietante es que este usuario enfatizó que nunca hizo clic en enlaces de phishing, incluso tenía activada la “verificación en dos pasos (2FA)”, pero aún así no pudo detener a los hackers.

Según la recopilación de datos de víctimas en redes sociales, parece que el ataque se centró en usuarios que se registraron en Polymarket a través de Magic Labs.

Magic Labs es un servicio de inicio de sesión y billetera de terceros diseñado para “principiantes” en criptomonedas. Los usuarios no necesitan conocimientos complejos sobre gestión de claves privadas; pueden registrarse rápidamente con un correo electrónico, y el sistema genera automáticamente una “billetera de Ethereum no custodial” en segundo plano.

Aunque Magic Labs ha reducido la barrera de entrada al mundo cripto, este ataque demuestra que los servicios de verificación de terceros, que prometen conveniencia, pueden convertirse en un punto de entrada para los hackers si presentan vulnerabilidades de seguridad.

Después de varios días de silencio, Polymarket finalmente respondió el martes en su canal oficial de Discord:

Recientemente descubrimos y solucionamos un problema de seguridad que afectaba a unos pocos usuarios. Este incidente fue causado por una vulnerabilidad en el proveedor de servicios de verificación de identidad de terceros.

Sin embargo, Polymarket no especificó cuántos usuarios fueron afectados ni reveló el monto total de fondos robados, y tampoco identificó al proveedor de servicios involucrado. La plataforma solo enfatizó que la vulnerabilidad ya ha sido corregida y que actualmente no se observan riesgos continuos.

Polymarket añadió que contactará proactivamente a todos los usuarios afectados y que aún no se ha decidido si se compensarán completamente las pérdidas de los usuarios, lo cual se aclarará en su momento.

• Este artículo ha sido reproducido con autorización de：《區塊客》
• Título original: 《醒來驚見帳戶剩 0.01 美元！Polymarket 證實部分用戶被盜、第三方漏洞所致》
• Autor original: 區塊妹 MEL