Biểu đồ đám mây khối

Polymarket thừa nhận rằng tiền của người dùng đã bị đánh cắp và các dịch vụ của bên thứ ba "đăng nhập bằng một cú nhấp chuột" đã trở thành một lỗ hổng

👤 transfertop@Claire 📅 2026-04-03 06:18:18

Polymarket báo cáo rằng tiền đã bị đánh cắp vào đêm Giáng sinh. Lỗ hổng này bắt nguồn từ dịch vụ ví Magic Labs của bên thứ ba, nêu bật điểm rủi ro duy nhất đằng sau sự tiện lợi của Web3.
(Giới thiệu sơ bộ: Polymarket, công ty dẫn đầu thị trường dự đoán, đã thông báo rằng họ sẽ xây dựng L2 của riêng mình. Con át chủ bài của Polygon đã biến mất chưa? )
(Bổ sung nền tảng: Làm thế nào để đạt được 40% thu nhập hàng năm thông qua chênh lệch giá Polymarket? )

Polymarket, công ty dẫn đầu thị trường dự đoán tiền điện tử, đã báo cáo rằng tiền đã bị đánh cắp và nhiều người dùng đã tức giận trên X và Reddit vào sáng sớm ngày 24 tháng 12 rằng "số dư tài khoản đã trống."

Nền tảng này ngay lập tức thừa nhận lỗ hổng bảo mật trong Discord chính thức và chỉ ra "nhà cung cấp dịch vụ bên thứ ba". Công cụ theo dõi trên chuỗi Lookonchain sau đó đã nhắm mục tiêu vào nhà cung cấp dịch vụ ví Magic Labs, khiến sự cố này trở thành vụ vi phạm bảo mật nghiêm trọng nhất trên thị trường tiền điện tử vào cuối năm 2025.

Chính thức cho biết sự cố đã được khắc phục nhưng một số người vẫn lo lắng

Chưa đầy một giờ sau khi người dùng đăng tin, Polymarket đã đưa ra thông báo:

Chúng tôi đã tìm thấy một lỗ hổng liên quan đến nhà cung cấp dịch vụ bên thứ ba và lỗ hổng này đã được sửa. Chỉ một số lượng rất nhỏ người dùng bị ảnh hưởng và chúng tôi sẽ chủ động liên hệ với những người dùng này.

Thông báo không tiết lộ mức độ thiệt hại hay số lượng nạn nhân, nhưng nó gây ra sự hoảng loạn lớn hơn. Theo khối lượng giao dịch trong một tháng của nền tảng Polymarket vào năm 2025, người ta ước tính sẽ đạt hàng tỷ đô la mỗi tháng. Ngay cả một “con số rất nhỏ” cũng có thể dẫn đến tổn thất lớn.

Không giống như các cuộc tấn công lừa đảo thông thường, không có liên kết đáng ngờ nào lưu hành vào thời điểm xảy ra vụ việc và nhiều nạn nhân thậm chí còn kích hoạt email 2FA. Chìa khóa để vượt qua hàng phòng thủ không nằm ở phía người dùng mà nằm ở xác thực của bên thứ ba trong nền.

Cơ chế đăng nhập của Magic Labs đã trở thành một lỗ hổng

Để hạ thấp ngưỡng này, Polymarket đã giới thiệu “Tạo ví không lưu ký qua email chỉ bằng một cú nhấp chuột” của Magic Labs. Người dùng không cần phải ghi nhớ các từ và có thể vận hành tài sản Ethereum bằng cách gửi mã xác minh. Tuy nhiên, kẻ tấn công trực tiếp khai thác lỗ hổng hệ thống trong lớp xác thực Magic Labs để giành quyền kiểm soát ví và 2FA tương đương với không hợp lệ.

Dòng chảy hiện tại trên chuỗi cho thấy địa chỉ của hacker đã phân chia tài sản trong một khoảng thời gian ngắn và trộn lẫn các đồng tiền qua nhiều lớp, khiến việc truy tìm trở nên khó khăn hơn. Mặc dù quan chức này cho biết nó "đã được sửa chữa" nhưng vẫn chưa đáp ứng yêu cầu của cộng đồng về một báo cáo đầy đủ sau sự cố.

Đồng thời, công ty bảo mật SlowMist cảnh báo GitHub về sự xuất hiện của các robot sao chép Polymarket độc hại, đặc biệt nhắm mục tiêu vào những người chơi nâng cao, những người xây dựng tập lệnh giao dịch của riêng họ. Chương trình này đọc tệp cấu hình cục bộ và bí mật gửi khóa riêng. Mặc dù nó không liên quan trực tiếp đến lỗ hổng Magic Labs nhưng nó đã bùng phát vào cùng ngày.

Nhãn:
chính sách
chia sẻ:
FB X YT IG
transfertop@Claire

transfertop@Claire

Trình chỉnh sửa chuỗi khối và tài sản tiền điện tử, tập trung vàochính sáchPhân tích nội dung tên miền và hiểu biết sâu sắc

Bình luận (10)

Jagger
Jagger 62ngày trước
Đồng ý, chi phí của niềm tin đang giảm.
Sadie
Sadie 62ngày trước
Hiện nay, cạnh tranh trong ngành đã chuyển sang cạnh tranh sinh thái.
chiến thắng
chiến thắng 63ngày trước
Người ta nói rất rõ rằng xây dựng sinh thái của nhà phát triển là nền tảng.
lennox
lennox 63ngày trước
Địa chỉ ví tiền kỹ thuật số được tạo như thế nào?
Bella
Bella 63ngày trước
Các quan điểm rõ ràng và phân tích được thực hiện.
Edmund
Edmund 63ngày trước
Ví lạnh và ví nóng là gì?
Daphne
Daphne 68ngày trước
Nội dung của bài viết mang tính thông tin và hỗ trợ chia sẻ.
Elodie
Elodie 79ngày trước
Nói hay thì việc triển khai công nghệ và ứng dụng là mấu chốt.
Carl
Carl 83ngày trước
Mong muốn có nhiều nội dung chất lượng cao hơn.
Patrick
Patrick 88ngày trước
Mong có nhiều trường hợp thực tế hơn để thúc đẩy sự phát triển của ngành.

Thêm nhận xét

Nội dung liên quan

Việc Trump phát hành tiền tệ bị người Đài Loan báo cáo là

Việc Trump phát hành tiền tệ bị người Đài Loan báo cáo là "vi phạm Luật phòng chống rửa tiền", người điều hành mã hóa PTT: Ủy ban giám sát tài chính sẽ không bắt được ông ta sớm

2026-04-03
Anh Maji tán thành sàn giao dịch lớn nhất Đài Loan TWEX? Quảng cáo lừa đảo khiến giới tiền tệ cười nhạo

Anh Maji tán thành sàn giao dịch lớn nhất Đài Loan TWEX? Quảng cáo lừa đảo khiến giới tiền tệ cười nhạo

2026-04-03
Trường hợp đầu tiên ở Đài Loan! Ngân hàng Commonwealth hợp tác với MaiCoin chính thức triển khai

Trường hợp đầu tiên ở Đài Loan! Ngân hàng Commonwealth hợp tác với MaiCoin chính thức triển khai "Kinh doanh thí điểm lưu ký tài sản ảo"

2026-04-03
Người sáng lập Ledger bị bắt cóc trong 48 giờ》David Balland và vợ được giải cứu! 10 nghi phạm bị bắt, tiền chuộc mã hóa bị đóng băng

Người sáng lập Ledger bị bắt cóc trong 48 giờ》David Balland và vợ được giải cứu! 10 nghi phạm bị bắt, tiền chuộc mã hóa bị đóng băng

2026-04-03
Báo cáo Chainalysis: Tin tặc Triều Tiên đã đánh cắp 2 tỷ USD tài sản tiền điện tử vào năm 2025, trong đó Bybit trở thành nạn nhân lớn nhất

Báo cáo Chainalysis: Tin tặc Triều Tiên đã đánh cắp 2 tỷ USD tài sản tiền điện tử vào năm 2025, trong đó Bybit trở thành nạn nhân lớn nhất

2026-04-03
Khoảng 60 BTC bị đánh cắp từ Odin.fun! Nhà sáng lập thừa nhận “không đủ kinh phí bù đắp” vì chỉ ra hacker Trung Quốc

Khoảng 60 BTC bị đánh cắp từ Odin.fun! Nhà sáng lập thừa nhận “không đủ kinh phí bù đắp” vì chỉ ra hacker Trung Quốc

2026-04-03

Nội dung phổ biến

Vụ cướp tiền điện tử OTC Hồng Kông

Vụ cướp tiền điện tử OTC Hồng Kông "1 tỷ yên được chuyển trong 30 giây", cảnh sát đã bắt giữ 15 người trong đó có chủ mưu, số tiền bị đánh cắp vẫn chưa được tìm thấy

2026-04-03
 Lợi nhuận Bitcoin của Hoa Kỳ sẽ bị khấu trừ 5% khi hồi hương về Đài Loan! Trump có kế hoạch giới thiệu dự luật mới: thuế chuyển khoản từ những người không phải công dân Hoa Kỳ

Lợi nhuận Bitcoin của Hoa Kỳ sẽ bị khấu trừ 5% khi hồi hương về Đài Loan! Trump có kế hoạch giới thiệu dự luật mới: thuế chuyển khoản từ những người không phải công dân Hoa Kỳ

2026-04-03
 Khoảng 60 BTC bị đánh cắp từ Odin.fun! Nhà sáng lập thừa nhận “không đủ kinh phí bù đắp” vì chỉ ra hacker Trung Quốc

Khoảng 60 BTC bị đánh cắp từ Odin.fun! Nhà sáng lập thừa nhận “không đủ kinh phí bù đắp” vì chỉ ra hacker Trung Quốc

2026-04-03
 GIÂY BẮN! Đình chỉ giao dịch cổ phiếu của các công ty dự trữ tiền điện tử QMMM và SDM: liên quan đến thao túng giá và đầu cơ

GIÂY BẮN! Đình chỉ giao dịch cổ phiếu của các công ty dự trữ tiền điện tử QMMM và SDM: liên quan đến thao túng giá và đầu cơ

2026-04-03
 CFO của công ty phần mềm đã biển thủ 35 triệu USD tiền của khách hàng để đánh bạc trên DeFi và mất tất cả

CFO của công ty phần mềm đã biển thủ 35 triệu USD tiền của khách hàng để đánh bạc trên DeFi và mất tất cả

2026-04-03
 Ví Trust gặp lỗ hổng bảo mật lớn! Đừng nhập các cụm từ ghi nhớ và nâng cấp lên 2.69 càng sớm càng tốt, ít nhất 6 triệu USD đã bị đánh cắp

Ví Trust gặp lỗ hổng bảo mật lớn! Đừng nhập các cụm từ ghi nhớ và nâng cấp lên 2.69 càng sớm càng tốt, ít nhất 6 triệu USD đã bị đánh cắp

2026-04-03

Phần liên quan

chợ phân tích công nghệ chính sách

Nội dung phổ biến

năng lượng mạng tron Sàn giao dịch TRX Thiết lập Robot năng lượng TG Telegram nền tảng năng lượng tron Mua TRX Cơ quan năng lượng TRON Cho thuê Flash năng lượng TRON Hợp tác Cơ quan Năng lượng Trao đổi tự động TRX Cơ quan hồ bơi năng lượng Bán năng lượng TRX Mã nguồn Robot năng lượng Tích hợp nhóm năng lượng Tuyển dụng đại lý nhóm năng lượng Cho thuê và trao đổi năng lượng TRX năng lượng trx Thiết lập Robot năng lượng TRX của Telegram Chuyển giao năng lượng miễn phí dịch vụ năng lượng tron Thiết lập Robot năng lượng