Polymarket afetado por falha de autenticação de terceiros, usuários perdem fundos

• Uma falha de autenticação de terceiros contornou a proteção de dois fatores da Polymarket, permitindo acesso não autorizado às contas e levantamentos de fundos.
• Os utilizadores relataram saldos esgotados, incluindo contas principais, com alguns a perder milhares, apesar de não haver comprometimento de dispositivos.
• A Polymarket corrigiu a vulnerabilidade e entrará em contacto com os utilizadores afetados, mas as perdas totais e o número de contas permanecem não divulgados.

A Polymarket confirmou uma violação de segurança esta semana após os utilizadores relatarem contas esgotadas e atividades de login suspeitas na plataforma. O incidente ocorreu na plataforma de mercado de previsão da Polymarket, com relatos surgindo no Reddit e no X na terça-feira. Segundo a empresa, uma falha de autenticação de terceiros contornou a proteção de dois fatores, permitindo acesso não autorizado e levantamentos de fundos.

Relatos de Utilizadores Disparam Resposta da Plataforma

Notavelmente, os utilizadores começaram a sinalizar o problema após receberem alertas de login inesperados ligados às suas contas na Polymarket. Vários utilizadores relataram múltiplas tentativas de login antes de os saldos desaparecerem.

Um utilizador no Reddit disse que o saldo da sua conta caiu para $0.01 durante a noite, apesar de não haver comprometimento de dispositivo. Outro utilizador no X relatou perdas de cerca de $2.000, mesmo com a autenticação de dois fatores ativada.

No entanto, os relatos não permaneceram isolados numa única plataforma. Utilizadores adicionais no X disseram que os atacantes esgotaram contas de alto nível e contas de teste. Um utilizador afirmou que a sua conta “top 1000” na Polymarket foi completamente esvaziada. À medida que esses relatos se espalharam, os utilizadores questionaram como os atacantes contornaram as camadas de segurança existentes.

Ferramenta de Login de Terceiros Sob Análise

À medida que a atenção se voltou para os métodos de autenticação, vários utilizadores apontaram a Magic Labs como uma possível fonte. A Magic Labs fornece serviços de login por email e carteiras geradas automaticamente para os utilizadores.

A ferramenta permite que recém-chegados sem carteiras de criptomoedas acessem plataformas como a Polymarket. Os utilizadores afirmaram que as contas afetadas foram criadas usando a Magic Labs, apesar de não terem recebido emails de phishing.

Entretanto, a Polymarket não confirmou a identidade do fornecedor. No entanto, a empresa afirmou que a vulnerabilidade teve origem fora da sua infraestrutura principal. A Polymarket enfatizou que o problema derivou de um fornecedor de login de terceiros e não de sistemas internos.

Polymarket Confirma Correção, Mantém Detalhes em Sigilo

De acordo com uma declaração partilhada no Discord da Polymarket, a empresa identificou e resolveu a vulnerabilidade. A plataforma afirmou que o problema afetou um “pequeno número de utilizadores” e confirmou que não há risco contínuo. A Polymarket acrescentou que entrará em contacto diretamente com os utilizadores impactados.

No entanto, a Polymarket não divulgou quantas contas foram afetadas ou o total de fundos perdidos. A Magic Labs também não respondeu às perguntas da imprensa. Notavelmente, isto segue relatos semelhantes de utilizadores no final de 2024 envolvendo logins baseados no Google.