การขโมยเงินของ Polymarket ในวันคริสต์มาสอีฟเกิดจากบริการกระเป๋าเงินของบุคคลที่สาม Magic Labs ซึ่งเน้นย้ําถึงจุดเสี่ยงเพียงจุดเดียวที่อยู่เบื้องหลังความสะดวกสบายของ Web3
(สรุป: Polymarket ผู้นําในตลาดการคาดการณ์ประกาศว่าจะสร้าง L2 ของตัวเอง ไพ่ทรัมป์ของ Polygon หายไปแล้ว?) )
(ส่วนเสริมพื้นหลัง: วิธีบรรลุผลตอบแทน 40% ต่อปีผ่านการเก็งกําไร Polymarket?) )
Polymarket ซึ่งเป็นตลาดการคาดการณ์คริปโตชั้นนํารายงานว่าเงินถูกขโมย และผู้ใช้จํานวนมากโกรธแค้นใน X และ Reddit ในช่วงเช้าตรู่ของวันที่ 24 ธันวาคมว่า “ยอดคงเหลือในบัญชีถูกล้าง”
แพลตฟอร์มรับทราบช่องโหว่ด้านความปลอดภัยบน Discord อย่างเป็นทางการทันที และชี้ไปที่ “ผู้ให้บริการบุคคลที่สาม” เครื่องมือติดตามแบบ On-chain Lookonchain ได้ล็อกผู้ให้บริการกระเป๋าเงิน Magic Labs ทําให้เหตุการณ์นี้เป็นการละเมิดความปลอดภัยที่มีการพูดถึงมากที่สุดในตลาดคริปโตในช่วงปลายปี 2025
เจ้าหน้าที่กล่าวว่าได้รับการซ่อมแซมแล้ว แต่ก็ยังมีข้อกังวล
ไม่ถึงหนึ่งชั่วโมงหลังจากที่ผู้ใช้แจ้งข่าว Polymarket ได้ออกประกาศ:
เราได้พบช่องโหว่ที่เกี่ยวข้องกับผู้ให้บริการบุคคลที่สามที่ได้รับการแก้ไขแล้ว ผู้ใช้ที่ได้รับผลกระทบจํานวนน้อยมากเท่านั้นที่จะได้รับการติดต่อในเชิงรุก
การประกาศไม่ได้เปิดเผยจํานวนการสูญเสียและจํานวนผู้ประสบภัย แต่ทําให้เกิดความตื่นตระหนกมากยิ่งขึ้น ตามผลประกอบการรายเดือนของ Polymarket ของแพลตฟอร์มในปี 2025 คาดว่าจะมีมูลค่าหลายพันล้านดอลลาร์ทุกเดือน และแม้แต่ “ไม่กี่คน” ก็อาจขาดทุนสูงได้
ซึ่งแตกต่างจากการโจมตีแบบฟิชชิ่งทั่วไปตรงที่ไม่มีลิงก์ที่น่าสงสัยที่แพร่กระจายในช่วงเวลาที่เกิดเหตุการณ์และเหยื่อจํานวนมากยังเปิดใช้งานอีเมล 2FA กุญแจสําคัญในการบายพาสไม่ได้อยู่ที่ฝั่งไคลเอ็นต์ แต่อยู่บนการตรวจสอบสิทธิ์ของบุคคลที่สามในเบื้องหลัง
กลไกการเข้าสู่ระบบ Magic Labs กลายเป็นช่องโหว่
เพื่อลดอุปสรรค Polymarket ได้เปิดตัว “Email One-Click Generation Non-Custodial Wallet” ของ Magic Labs ผู้ใช้ไม่จําเป็นต้องเก็บวลีเริ่มต้นและส่งรหัสยืนยันเพื่อใช้งานสินทรัพย์ Ethereum ผู้โจมตีใช้ประโยชน์จากช่องโหว่ของระบบโดยตรงในเลเยอร์การรับรองความถูกต้องของ Magic Labs เพื่อควบคุมกระเป๋าเงิน ทําให้ 2FA ไม่ถูกต้อง
โฟลว์ on-chain ในปัจจุบันแสดงให้เห็นว่าที่อยู่แฮ็กเกอร์แยกสินทรัพย์ในช่วงเวลาสั้น ๆ และผสมเหรียญผ่านหลายชั้น ทําให้ติดตามได้ยากขึ้น แม้ว่าเจ้าหน้าที่จะกล่าวว่าได้รับการ “แก้ไข” แล้ว แต่ก็ยังไม่ได้ตอบสนองต่อรายงานติดตามผลที่สมบูรณ์ตามที่ชุมชนร้องขอ
ในขณะเดียวกัน บริษัทรักษาความปลอดภัย SlowMist ได้เตือน GitHub เกี่ยวกับบอทคัดลอก Polymarket ที่เป็นอันตรายซึ่งกําหนดเป้าหมายผู้เล่นระดับสูงด้วยสคริปต์การซื้อขายที่สร้างขึ้นเอง โปรแกรมซึ่งอ่านไฟล์การกําหนดค่าในเครื่องและแอบส่งคีย์ส่วนตัว เกิดขึ้นในวันเดียวกับช่องโหว่ของ Magic Labs แม้ว่าจะไม่เกี่ยวข้องโดยตรงกับช่องโหว่ของ Magic Labs ก็ตาม
