Polymarket xác nhận một số tài khoản người dùng bị thất thoát do lỗ hổng phát sinh từ nhà cung cấp xác thực bên thứ ba, đồng thời cho biết sự cố đã được khắc phục và không còn rủi ro tồn đọng.
Các báo cáo trên mạng xã hội cho thấy những người dùng đăng ký Polymarket qua Magic Labs (đăng nhập bằng email, tạo ví Ethereum không lưu ký) có thể bị ảnh hưởng. Đây là phương thức thường được người mới dùng crypto lựa chọn khi chưa có ví tài sản số.
- Polymarket thừa nhận sự cố bảo mật liên quan nhà cung cấp xác thực bên thứ ba và nói đã xử lý xong.
- Nhiều nạn nhân mô tả có cảnh báo đăng nhập bất thường rồi số dư bị rút sạch, phổ biến ở luồng đăng ký qua Magic Labs.
- Nền tảng được cho là phụ thuộc đáng kể vào Polygon về hoạt động giao dịch và mức tiêu thụ gas, trong bối cảnh có kế hoạch rời Polygon.
Polymarket xác nhận người dùng bị mất tiền do lỗ hổng từ bên thứ ba
Polymarket cho biết đã phát hiện và khắc phục một vấn đề bảo mật ảnh hưởng đến một nhóm nhỏ người dùng, bắt nguồn từ lỗ hổng do nhà cung cấp xác thực bên thứ ba đưa vào, và sẽ liên hệ các tài khoản bị tác động.
Theo chia sẻ từ người dùng, sự cố chủ yếu liên quan nhóm đăng ký bằng Magic Labs, công cụ cho phép đăng nhập bằng email và tạo ví Ethereum không lưu ký. Cơ chế “đăng nhập như web2” này thường được người mới dùng tiền điện tử ưu tiên vì không cần có ví sẵn.
Trên kênh Discord chính thức, Polymarket viết: “We recently identified and resolved a security issue affecting a small number of users […]The issue was caused by a vulnerability introduced by a third-party authentication provider […] We will be in contact with impacted users,” kèm đường dẫn tham chiếu tại Discord của Polymarket.
Người dùng mô tả ví bị xâm nhập sau nhiều lần thử đăng nhập
Nhiều nạn nhân nói họ nhận được 3 thông báo thử đăng nhập, sau đó các vị thế bị đóng và số dư gần như về 0, dù thiết bị và các dịch vụ khác không ghi nhận dấu hiệu bị xâm phạm.
Một người dùng Reddit mô tả đã thấy 3 lần thử đăng nhập, kiểm tra không thấy bất thường từ Google, nhưng khi vào Polymarket thì “all my deals were closed and balance is $0.01,” theo bài đăng tại chủ đề trên Reddit.
Một người dùng khác trong phần bình luận cũng nói gặp kịch bản tương tự: nhận 3 cảnh báo đăng nhập rồi tiền bị rút khỏi tài khoản Polymarket. Người này cho biết không bấm liên kết lạ và email đã bật xác thực hai lớp, theo hồ sơ tài khoản Reddit.
“Today I woke up and see 3 attempts to login to polymarket — My device isn’t compromised, google found nothing suspicious, all other services are fine. So I went to Polymarket and realized that all my deals were closed and balance is $0.01.”
– Người dùng Reddit, bài đăng trên r/PolymarketTrading
Cảnh báo về mã độc liên quan bot copy-trading và hành vi lừa đảo trong phần bình luận
Cộng đồng đã phát cảnh báo về rủi ro bảo mật liên quan mã độc trong một bot copy-trading Polymarket trên GitHub và các thủ đoạn lừa đảo được triển khai qua khu vực bình luận của nền tảng.
Trong cuối tuần, 23pds, Giám đốc An ninh Thông tin (CISO) của SlowMist, đã chia sẻ lại cảnh báo của một thành viên cộng đồng về mã độc trong bot copy-trading Polymarket trên GitHub, nhấn mạnh khả năng gây rủi ro bảo mật cho người dùng.
Trước đó, một nhà giao dịch cấp cao cũng nêu lo ngại rằng kẻ tấn công đã lợi dụng phần bình luận để triển khai trò lừa đảo, và cho rằng người dùng đã thiệt hại hơn 500.000 USD. Thông tin này xuất hiện trong các thảo luận cộng đồng và lan truyền lại trên mạng xã hội.
Hỗ trợ AI bị phản ánh đổ lỗi cho Polygon, trong khi Polymarket tính chuyện rời mạng này
Một người dùng cho biết bộ phận hỗ trợ AI ban đầu nói vấn đề đến từ Polygon, nhưng sau đó nhân viên hỗ trợ đã cung cấp hướng dẫn kiểm tra luồng dịch chuyển tiền thay vì tiếp tục quy trách nhiệm cho mạng.
Theo phản ánh của người dùng, “First line AI support told me it’s issue with Polygon… Then human gave me instructions how to check where my funds went to,” cho thấy trải nghiệm hỗ trợ có thể không nhất quán ở bước đầu.
Diễn biến này xuất hiện trong bối cảnh một thành viên đội ngũ Polymarket tên Mustafa cho biết công ty dự kiến rời Polygon và xây dựng một Ethereum Layer 2 có tên POLY, được mô tả là ưu tiên hàng đầu của dự án.
Số liệu cho thấy Polymarket chiếm tỷ trọng đáng kể trên Polygon
Các dữ liệu được trích dẫn trong bài cho thấy Polymarket đang đóng góp đáng kể vào hoạt động của Polygon, gồm giá trị vị thế trên nền tảng và tỷ trọng gas, nên nếu dịch chuyển hạ tầng có thể tạo tác động rõ rệt tới hệ sinh thái Polygon.
Bài viết nêu Polymarket ghi nhận 419.309 người dùng hoạt động trong tháng, tổng số giao dịch 19,63 triệu và tổng khối lượng giao dịch 1,538 tỷ USD. (Các số liệu này được trình bày như thống kê của nền tảng trong nội dung nguồn.)
Về mức độ phụ thuộc hệ sinh thái, dữ liệu DefiLlama được trích dẫn cho biết tổng giá trị các vị thế trên Polymarket khoảng 326 triệu USD, tương đương gần một phần tư trong 1,19 tỷ USD đang khóa trên Polygon.
Bài viết cũng trích Coin Metrics rằng giao dịch Polymarket dùng khoảng 25% tổng gas của mạng Polygon. Dữ liệu Dune được nêu: giao dịch liên quan Polymarket tiêu tốn khoảng 216.000 USD phí gas trong tháng 11; Token Terminal ghi nhận Polygon tiêu tốn khoảng 939.000 USD gas cùng tháng, tương đương khoảng 23%.
Nội dung còn đề cập trong năm 2025, Polygon mainnet trải qua 15 sự kiện bất thường/bảo trì/gián đoạn, một số gây chậm trễ khớp lệnh của Polymarket; lần gián đoạn gần nhất được nêu là ngày 18/12 (giờ Việt Nam).
Những câu hỏi thường gặp
Polymarket nói nguyên nhân sự cố bảo mật đến từ đâu?
Polymarket cho biết sự cố xuất phát từ một lỗ hổng do nhà cung cấp xác thực bên thứ ba đưa vào, ảnh hưởng một nhóm nhỏ người dùng và hiện đã được khắc phục.
Những người dùng nào được cho là dễ bị ảnh hưởng hơn?
Các báo cáo từ cộng đồng cho rằng người dùng đăng ký qua Magic Labs (đăng nhập bằng email và tạo ví Ethereum không lưu ký) là nhóm thường được nhắc đến trong các trường hợp bị thất thoát.
Dấu hiệu phổ biến mà nạn nhân mô tả là gì?
Nhiều người nói họ nhận được khoảng 3 thông báo thử đăng nhập, sau đó các giao dịch/vị thế bị đóng và số dư giảm xuống gần như bằng 0, dù không thấy dấu hiệu thiết bị hay dịch vụ khác bị xâm phạm.
Polymarket đã thông báo gì trên Discord?
Nền tảng nói đã xác định và xử lý xong vấn đề bảo mật, nguyên nhân liên quan nhà cung cấp xác thực bên thứ ba, và sẽ liên hệ những người dùng bị ảnh hưởng.
Polymarket có đang rời Polygon không?
Nội dung bài viết cho biết một thành viên đội ngũ Polymarket nói dự án dự kiến rời Polygon và ưu tiên triển khai một Ethereum Layer 2 tên POLY.