Появляются различные сообщения о кошельках, подвергшихся атакам, среди пользователей приложения Polymarket, которые сообщают о пропаже своих средств после входа через Google.
Расследования в процессе выявляют уязвимости в недавних методах аутентификации и фишинговые атаки. Рассмотрим все детали ниже.
Summary
Пользователи Polymarket под атаками сообщают о опустошении кошельков после входа через Google
В последние месяцы несколько пользователей Polymarket, популярной платформы для рыночных прогнозов, сообщили о тревожной ситуации: их кошельки были таинственным образом опустошены после входа через Google.
В то время как те, кто использует стандартные Web3 кошельки, такие как MetaMask или Trustwallet, не пострадали, пользователи, которые полагаются на новейшие методы доступа через OAuth или Email OTP, кажутся основными жертвами.
Эта проблема заставила многих задуматься о безопасности этих новых методов аутентификации и о возможных уязвимостях в системе.
Один из первых пользователей, сообщивших о проблеме, был HHeego, член сообщества Discord Polymarket. Согласно его заявлению, 5 августа он внес около $1.085,80 в USD Coin (USDC) на свой счет Polymarket через Binance.
Тем не менее, после того как он ждал несколько часов, не видя депозита, он присоединился к серверу Discord Polymarket, чтобы получить помощь. Здесь он обнаружил, что другие пользователи сталкиваются с аналогичными проблемами.
Успокоенный тем, что это, вероятно, была просто ошибка пользовательского интерфейса, HHeego перестал беспокоиться. Вскоре после этого депозит наконец появился в его кошельке.
Тем не менее, с той же скоростью, с которой он появился, весь баланс в $1.188,72 USDC исчез, включая $102,92, которые уже были на его счете до депозита.
HHeego немедленно проверил историю транзакций через обозреватель блоков Polygonscan, где обнаружил, что его баланс был переведен на аккаунт под названием «Fake_Phishing399064».
Это событие ознаменовало начало кошмара.
Несмотря на снятие средств, открытые операции HHeego на общую сумму $2.000 остались нетронутыми.
Этот странный деталь еще больше подпитал тайну за атакой, заставляя предположить, что это была не просто уязвимость, а что-то более целенаправленное и специфическое.
Вторая атака и вмешательство службы поддержки клиентов
Считая изначально, что истощение его портфеля было всего лишь ошибкой
временный, HHeego решил внести дополнительную сумму в размере $4.111,31 11 августа.
Но, как это случалось ранее, средства были немедленно сняты с того же фишингового аккаунта, что привело к его общим потерям в размере $5.197,11. В этот момент HHeego понял, что его аккаунт был скомпрометирован.
Впоследствии он решил закрыть все свои операции, которые составляли около $1.000, и вывел оставшиеся средства на свой счет Binance. Удивительно, но хакер не тронул эти средства, и вывод прошел успешно.
Это еще больше укрепило его убежденность в том, что атака была ограничена суммами на депозитах и не касалась доходов от уже открытых операций.
Когда HHeego снова связался со службой поддержки клиентов Polymarket, ему сказали, что его аккаунт, вероятно, был скомпрометирован и что ему больше не следует его использовать.
Агент пообещал ему, что команда работает над тем, чтобы лучше понять, что произошло, и что они предоставят дополнительные детали в ближайшее время. Однако после последнего сообщения, полученного 15 августа, он больше не получал обновлений от команды.
Вторая жертва: Cryptomaniac
Другой пользователь, известный как «Cryptomaniac» на Discord, пережил аналогичную ситуацию. После того как он внес $745 9 августа, средства были сняты с его счета и отправлены на тот же фишинговый аккаунт, который был задействован в случае с HHeego.
Несмотря на первые попытки оказания помощи со стороны команды Polymarket, в конце концов Cryptomaniac перестал получать ответы.
После недель безуспешных попыток решить проблему, он сообщил, что команда службы поддержки клиентов прекратила всякое общение.
Cryptomaniac также показал скриншот одного из заявлений, полученных от службы поддержки, в котором агент утверждал, что атака была замечена уже в пяти других случаях, предполагая существование как минимум трех дополнительных жертв.
Кроме того, выяснилось, что злоумышленник использовал аутентификацию через OTP email для доступа к счетам жертв. Фактор, который подразумевает более сложное нарушение, чем простое фишинг.
Уязвимости в доступах через Google в атаках на кошельки Polymarket
Расследования сосредоточились на способах доступа, используемых жертвами.
В отличие от пользователей, которые используют Web3-кошельки, такие как MetaMask или Trustwallet, которые не пострадали, и HHeego, и Cryptomaniac использовали доступ через Google для управления своими счетами.
Polymarket, infatti, utilizza il kit di sviluppo Magic SDK per consentire agli utenti di accedere senza password o seed, facilitando il login tramite Google o email OTP.
Тем не менее, эта система, похоже, имела уязвимость, которая еще не была выяснена. Это позволило злоумышленникам похитить средства жертв, не скомпрометировав их учетные записи Google.
Согласно документам Magic Labs, система генерирует «chiave master utente», которая хранится в модуле безопасности оборудования Amazon Web Services (AWS).
Этот ключ может быть использован для расшифровки второго зашифрованного ключа, хранящегося на устройстве пользователя, что позволяет начинать транзакции на Polymarket.
Тем не менее, обе жертвы заявили, что никогда не сталкивались с несанкционированным доступом к своим учетным записям Google, что еще больше усложняет понимание атаки.
