TechFlow đưa tin, ngày 29 tháng 9, theo Cointelegraph, một số người dùng của ứng dụng thị trường dự đoán Polymarket gần đây đã báo cáo bị tấn công bởi ví lạ. Kẻ tấn công đã lợi dụng chức năng "đại lý" để đánh cắp số dư USDC của nạn nhân, chủ yếu ảnh hưởng đến những người dùng đăng nhập bằng tài khoản Google. Một người dùng có tên HHeego đã bị tấn công vào các ngày 5 và 11 tháng 8, tổng cộng thiệt hại khoảng 5.197,11 USD. Một người dùng khác là Cryptomaniac đã mất 745 USD vào ngày 9 tháng 8.
Bộ phận chăm sóc khách hàng của Polymarket thừa nhận đã phát hiện ít nhất 5 vụ việc tương tự, nghi ngờ kẻ tấn công đã sử dụng "mật khẩu một lần qua email" để đăng nhập vào tài khoản nạn nhân. Tuy nhiên, các nạn nhân khẳng định họ chưa từng truy cập nền tảng bằng địa chỉ email. Những người dùng ví mở rộng trên trình duyệt như MetaMask hoặc TrustWallet không bị ảnh hưởng.
Polymarket sử dụng SDK của Magic Labs để thực hiện đăng nhập không cần mật khẩu, không cần cụm khôi phục (seed phrase), về lý thuyết, kẻ tấn công cần phải truy cập được tài khoản Google của người dùng mới có thể xác thực danh tính. Tuy nhiên, các nạn nhân cho biết họ không phát hiện dấu hiệu tài khoản Google bị xâm nhập. Hiện tại, cả Polymarket lẫn Magic Labs vẫn chưa đưa ra phản hồi nào về sự việc này.




