Polymarket hat einen Sicherheitsvorfall bestätigt, bei dem ein Teil der Benutzerkonten unbefugtem Zugriff ausgesetzt war. Die Sicherheitsverletzung wurde mit einer Schwachstelle bei einem externen Login-Anbieter in Verbindung gebracht und nicht mit den Smart Contracts des Unternehmens.
Polymarket-Verletzung im Zusammenhang mit der Authentifizierung von Drittanbietern
Anfang dieser Woche meldeten Nutzer/innen fehlende Guthaben und unerklärliche Login-Warnungen und teilten Screenshots von abgebauten Guthaben und Zugriffsversuchen, die sie nicht initiiert hatten. Die meisten betroffenen Konten scheinen Nutzern zu gehören, die sich per E-Mail mit einem Klick bei einem externen Authentifizierungsdienst angemeldet haben, der im Hintergrund automatisch eine nicht-vertrauenswürdige Wallet erstellt.
Polymarket hat das Problem in Nachrichten an seine Community eingeräumt und erklärt, dass eine “kleine Anzahl von Nutzern” aufgrund einer vom Drittanbieter eingeführten Sicherheitslücke Verluste erlitten hat. Die Plattform erklärte, dass sie die Schwachstelle behoben hat und dass das zugrundeliegende Protokoll und die Märkte weiterhin sicher sind, gab aber weder die genaue Anzahl der Opfer noch den gestohlenen Gesamtwert bekannt.
Wie die Nutzer betroffen waren
Die Angreifer haben das Geld aus den gestohlenen Wallets schnell zusammengeführt und verschoben, indem sie Aufteilungs- und Geldwäschestrategien angewandt haben, die typisch für frühere Bitcoin-Diebstähle sind. Einige Opfer berichteten, dass ihr Guthaben fast auf Null gesunken war, obwohl sie in ihren E-Mail-Konten eine Zwei-Faktor-Authentifizierung verwendet hatten. Dies führte zu Spekulationen, dass der Angriff nicht bestimmte Geräte kompromittiert, sondern die Sicherheitsvorkehrungen der Identitätsanbieter überwunden hat.
Polymarket hat sich verpflichtet, die betroffenen Nutzer/innen direkt zu kontaktieren und sagt, dass durch den gepatchten Login-Kanal kein Risiko mehr besteht, obwohl das Unternehmen keinen konkreten Entschädigungsrahmen genannt hat. Sicherheitsfirmen und Branchenbeobachter raten Nutzern dringend, auf spezielle Wallets umzusteigen, unnötige Berechtigungen zu widerrufen und hochwertige Konten nach Möglichkeit nicht mit Login-Tools von Drittanbietern zu verknüpfen.
Die Sicherheitsverletzung unterstreicht, dass Plattformen, die scheinbar vertrauenswürdig sind, dennoch ein erhebliches Risiko durch zentralisierte Authentifizierungsebenen bergen können. Selbst wenn Smart Contracts wie vorgesehen funktionieren, kann eine Schwachstelle in der E-Mail- oder Social-Login-Infrastruktur dazu führen, dass Wallets bei mehreren Diensten, die sich auf denselben Anbieter verlassen, offengelegt werden.
Lies hier mehr: Binance Coin Kursvorhersage, da BNB Token sich dem Todeskreuz nähert
