Polymarket xác nhận các vụ hack tài khoản người dùng liên quan đến lỗ hổng của bên thứ ba – Quỹ bị rút sạch mặc dù đã bật 2FA

Nền tảng thị trường dự đoán phi tập trung Polymarket xác nhận vào ngày 25 tháng 12 năm 2025 rằng một số tài khoản người dùng đã bị xâm phạm do một lỗ hổng bảo mật trong một nhà cung cấp xác thực bên thứ ba.

Người dùng bị ảnh hưởng báo cáo đăng nhập trái phép và rút hết số dư—mặc dù đã bật xác thực hai yếu tố (2FA) và không có bằng chứng về việc thiết bị cá nhân bị xâm phạm—điều này đã gây ra những đồn đoán trên X và Reddit rằng vấn đề có thể liên quan đến Magic Labs, một dịch vụ kết nối ví phổ biến. Trong khi Polymarket chưa công bố tên nhà cung cấp, vụ việc này làm nổi bật các rủi ro liên tục từ bên thứ ba trong các nền tảng Web3, ngay cả với các dịch vụ không giữ tiền. Chưa có số liệu thiệt hại chính thức được tiết lộ, nhưng các báo cáo cá nhân mô tả việc rút tiền đáng kể sau các lần đăng nhập đáng ngờ.

Chi tiết các vụ hack tài khoản Polymarket

Người dùng bắt đầu xuất hiện các phản hồi phàn nàn từ đầu tuần:

• Mô hình chung: Nhiều thông báo thất bại khi đăng nhập theo sau là truy cập thành công và đóng vị trí/rút tiền.
• Biện pháp bảo mật còn nguyên vẹn: Nạn nhân báo cáo thiết bị sạch, không nhấp phishing, và xác thực hai yếu tố đang hoạt động trên email liên kết.
• Ví dụ báo cáo: Một người dùng Reddit mô tả thức dậy thấy ba lần cố gắng đăng nhập, rồi phát hiện tất cả các vị trí trên Polymarket đã bị đóng và số dư gần bằng không.
• Đồn đoán cộng đồng: Nhiều người cho rằng Magic Labs (magic.link) là bên thứ ba dễ bị tổn thương nhất, do dịch vụ này được sử dụng rộng rãi để kết nối ví.

Tuyên bố của Polymarket xác nhận nguyên nhân xuất phát từ bên thứ ba nhưng cung cấp ít thông tin về phạm vi hoặc thời gian khắc phục.

• Ảnh hưởng đến nền tảng: Tính không lưu ký có nghĩa là khóa riêng vẫn do người dùng kiểm soát, nhưng các lỗ hổng xác thực đã cho phép chiếm quyền phiên.
• Chưa xác nhận phishing: Điều này gợi ý về các khai thác ở cấp chuỗi cung ứng hoặc nhà cung cấp.
• Tình trạng phản hồi: Đã phát hành tuyên bố xác nhận; cuộc điều tra vẫn đang diễn ra.

Tại sao các lỗ hổng từ bên thứ ba gây rủi ro cho người dùng DeFi

Ngay cả các nền tảng phi tập trung cũng phụ thuộc vào các dịch vụ bên ngoài để cải thiện trải nghiệm người dùng:

• Kết nối ví: Các nhà cung cấp như Magic Labs giúp đơn giản hóa việc đăng nhập nhưng cũng tạo ra các điểm thất bại đơn lẻ.
• Quản lý phiên: Các token xác thực bị xâm phạm có thể bỏ qua xác thực hai yếu tố nếu không bị thu hồi đúng cách.
• Các cuộc tấn công chuỗi cung ứng: Mối đe dọa ngày càng tăng khi Web3 tích hợp nhiều phụ thuộc.

Vụ việc này gợi nhớ các vụ vi phạm trước đây khi các công cụ bên thứ ba (e.g., Ledger Connect kit) đã khiến người dùng dễ bị tổn thương mặc dù có các biện pháp bảo mật cá nhân mạnh mẽ.

Ảnh hưởng đối với Polymarket và người dùng thị trường dự đoán

Polymarket—nổi tiếng với các cược dựa trên sự kiện có khối lượng lớn—đang đối mặt với áp lực về uy tín:

• Ảnh hưởng đến niềm tin: Người dùng đặt câu hỏi về độ an toàn của nền tảng mặc dù thiết kế không giữ tiền.
• Bối cảnh khối lượng: Các kỷ lục gần đây (e.g., đặt cược bầu cử) làm tăng khả năng nhận diện các vấn đề.
• Các bước giảm thiểu: Có khả năng sẽ thu hồi các phiên, bắt buộc xác thực lại, và tiến hành kiểm tra nhà cung cấp.
• Bài học rộng hơn: Nên đa dạng hóa phương thức xác thực và theo dõi các ứng dụng liên kết.

Chưa có bằng chứng về các khai thác trên chuỗi; các thiệt hại chủ yếu liên quan đến việc chiếm đoạt tài khoản.

Tổng thể, việc Polymarket xác nhận vào ngày 25 tháng 12 năm 2025 về các vụ hack tài khoản người dùng qua lỗ hổng của bên thứ ba—dẫn đến rút hết tiền dù đã bật 2FA—nhấn mạnh các rủi ro chuỗi cung ứng tồn tại trong Web3. Với các đồn đoán tập trung vào Magic Labs và các báo cáo về truy cập trái phép, vụ việc này là lời nhắc nhở người dùng cần xem xét các dịch vụ liên kết và kích hoạt các tùy chọn bảo mật nâng cao. Theo dõi các kênh chính thức của Polymarket để cập nhật về các tài khoản bị ảnh hưởng và các bước giải quyết trong tình hình đang phát triển này.