Les actifs des utilisateurs ont été vidés, Polymarket confirme qu'une vérification tierce a échoué, faisant de la plateforme une cible d'attaque par des hackers

Polymarket confirme qu’une faille dans un service de vérification tiers a permis à des hackers de vider des comptes, même si la 2FA était activée. La plateforme a corrigé la vulnérabilité et s’est engagée à contacter les victimes.

Suite à des incidents récents où des utilisateurs ont été victimes de piratages, la plateforme de marché de prédiction décentralisée Polymarket a confirmé mardi que l’intrusion était due à une faille de sécurité dans un fournisseur de service de vérification d’identité tiers.

Ne pas cliquer sur des liens de phishing, activer la double authentification, le compte a quand même été vidé

Cet incident de sécurité a commencé à faire du bruit au début de cette semaine, de nombreux utilisateurs ont publié des messages de secours sur Reddit et X, décrivant en détail le drame de leur perte d’actifs, dont un utilisateur a indiqué dans un forum Reddit :

Ce matin, en ouvrant les yeux, j’ai vu une notification sur mon téléphone indiquant 3 tentatives de connexion à Polymarket. Mon appareil n’a pas été piraté, mon compte Google est normal, mais en me connectant rapidement à Polymarket, j’ai découvert que toutes mes transactions avaient été clôturées, et il ne restait plus que 0,01 dollar sur mon compte.

Un autre utilisateur sur le forum a également subi une attaque similaire : après avoir reçu 3 alertes de connexion, ses fonds ont été immédiatement siphonnés. Ce qui est inquiétant, c’est que cet utilisateur insiste sur le fait qu’il n’a jamais cliqué sur de liens de phishing, ni même désactivé la double authentification (2FA), mais cela n’a pas empêché les hackers d’agir.

Selon un recueil de données de victimes sur les réseaux sociaux, cette attaque semble cibler principalement les utilisateurs inscrits via Magic Labs sur Polymarket.

Magic Labs est un service tiers conçu pour les débutants en cryptomonnaie, permettant une connexion et un portefeuille simplifiés. Les utilisateurs n’ont pas besoin de connaissances complexes en gestion de clés privées, ils peuvent s’inscrire rapidement avec leur email, et le système génère automatiquement un « portefeuille Ethereum non custodial » en arrière-plan.

Bien que Magic Labs ait abaissé la barrière d’entrée dans le monde des cryptos, cette attaque montre que, lorsqu’une plateforme de vérification tierce privilégie la commodité, une faille de sécurité peut devenir une porte d’entrée pour les hackers.

Après plusieurs jours de silence, Polymarket a finalement répondu mardi sur son canal Discord officiel :

Nous avons récemment identifié et résolu un problème de sécurité affectant un petit nombre d’utilisateurs. Cet incident est dû à une vulnérabilité chez le fournisseur de service de vérification d’identité tiers.

Cependant, Polymarket n’a pas précisé le nombre exact de victimes, ni le montant total des fonds volés, et n’a pas nommé le fournisseur tiers impliqué. La plateforme a simplement souligné que la vulnérabilité a été corrigée et qu’aucun risque continu n’a été observé à ce jour.

Polymarket a ajouté qu’il contactera tous les utilisateurs affectés, mais reste indéterminé si une compensation intégrale sera proposée pour les pertes subies.

• Cet article est reproduit avec autorisation de : « 区块客 »
• Titre original : « 醒來驚見帳戶剩 0.01 美元！Polymarket 證實部分用戶被盜、第三方漏洞所致 »
• Auteur original : 区块妹 MEL