Polymarket xác nhận sự cố khai thác lỗ hổng xác minh từ bên thứ ba, việc mất tài sản của người dùng đã làm gia tăng lo ngại về rủi ro

Hình ảnh: https://x.com/TheBlock__/status/2003739551865475076

Polymarket xác nhận bị tấn công qua lỗ hổng xác thực bên thứ ba, tài sản người dùng bị đánh cắp

Vào cuối tháng 12 năm 2025, Polymarket—nền tảng thị trường dự đoán tiền mã hóa—đã chính thức xác nhận một sự cố bảo mật liên quan đến dịch vụ xác thực danh tính của bên thứ ba, khiến một số tài sản của người dùng bị đánh cắp. Polymarket khẳng định sự cố không bắt nguồn từ lỗi trong giao thức cốt lõi hoặc hợp đồng thông minh của nền tảng. Thay vào đó, kẻ tấn công đã lợi dụng lỗ hổng trong dịch vụ xác thực bên thứ ba liên kết, chiếm quyền kiểm soát các tài khoản bị ảnh hưởng và chuyển tài sản đi.

Bối cảnh và tuyên bố chính thức

Theo thông báo chính thức từ Polymarket, sự cố bảo mật diễn ra trong quá trình đăng nhập của người dùng và chủ yếu tác động đến các tài khoản đăng ký hoặc truy cập qua dịch vụ xác thực bên thứ ba, như đăng nhập email một chạm. Một số người dùng phản ánh rằng, dù đã bật xác thực hai yếu tố (2FA), số dư tài khoản của họ vẫn bị rút sạch chỉ trong vài phút.

Polymarket xác nhận lỗ hổng đã được khắc phục và cho biết không có dấu hiệu rủi ro tấn công tiếp diễn. Nền tảng làm rõ các cơ chế thị trường cốt lõi, hợp đồng thông minh và hệ thống thanh toán không bị ảnh hưởng; sự cố xuất phát từ lỗ hổng bảo mật trong quy trình xác minh danh tính bên ngoài.

Phương thức tấn công và cơ chế lỗ hổng tiềm ẩn

Phân tích ngành và nguồn tin công khai cho thấy đây không phải là kiểu tấn công lừa đảo thông thường hoặc do người dùng tiết lộ khóa riêng. Kẻ tấn công có khả năng đã khai thác điểm yếu trong quy trình xác thực bên thứ ba, vượt qua các bước xác minh đăng nhập tiêu chuẩn để kiểm soát ví liên kết với tài khoản người dùng, dù người dùng không nhấp vào liên kết độc hại hoặc tiết lộ thông tin đăng nhập email.

Sau khi chiếm quyền kiểm soát, kẻ tấn công nhanh chóng chuyển tài sản sang các địa chỉ bên ngoài, sử dụng chia nhỏ giao dịch và che giấu chuỗi để làm mờ dòng tiền và gây thiệt hại thực tế.

Polymarket chưa công bố chi tiết kỹ thuật về lỗ hổng hoặc tên nhà cung cấp bên thứ ba liên quan. Tuy nhiên, theo nhận định chung của ngành, các giải pháp xác thực giao cho bên thứ ba quản lý khóa hoặc ủy quyền tài khoản có thể tạo ra rủi ro hệ thống nếu các thành phần đó bị xâm phạm.

Phản hồi người dùng và cộng đồng

Sau khi sự cố được lan truyền, người dùng đã chia sẻ trải nghiệm trên các nền tảng cộng đồng và mạng xã hội. Một người dùng cho biết đã đăng nhập lại Polymarket sau khi nhận được cảnh báo đăng nhập bất thường, nhưng số dư tài khoản gần như bị rút sạch. Một người khác khẳng định không thực hiện hành động rủi ro nào, chỉ dùng đăng nhập email với 2FA kích hoạt, nhưng tài sản vẫn bị chuyển đi trong thời gian ngắn.

Những trường hợp này nhanh chóng dấy lên tranh luận trong cộng đồng. Nhiều người bắt đầu xem xét lại sự đánh đổi giữa “đăng nhập tiện lợi” và “an toàn tài sản” trên nền tảng Web3. Một số ý kiến cho rằng sự cố cho thấy nỗ lực tối ưu hóa trải nghiệm người dùng trong ứng dụng phi tập trung có thể vô tình mở rộng lỗ hổng ở ranh giới bảo mật.

Phản ứng của Polymarket và tình trạng hiện tại

Sau khi xác nhận sự cố, Polymarket cho biết đã ngay lập tức vá lỗ hổng và chủ động liên hệ với các người dùng bị ảnh hưởng. Nền tảng khẳng định không ghi nhận thêm hoạt động bất thường nào và hệ thống vẫn an toàn.

Thông báo chính thức cũng xác nhận rằng hợp đồng thông minh cốt lõi và logic thị trường không bị ảnh hưởng. Như vậy, người dùng sử dụng ví tự lưu ký hoặc đăng nhập không qua xác thực bên thứ ba không bị tác động bởi phương thức tấn công này.

Đến nay, Polymarket chưa công bố số lượng người dùng bị ảnh hưởng hoặc tổng quy mô thiệt hại tài chính.

Góc nhìn ngành: Vì sao xác thực bên thứ ba là yếu tố rủi ro cao

Ở góc độ toàn ngành, sự kiện này nhấn mạnh rủi ro cấu trúc mà nền tảng Web3 đối mặt khi phụ thuộc vào dịch vụ xác thực danh tính bên thứ ba. Đăng nhập email tiện lợi và xác thực tài khoản xã hội giúp giảm rào cản gia nhập nhưng cũng mở ra các bề mặt tấn công mới.

Trong Web2, hệ thống OAuth và đăng nhập xã hội đã đối mặt với thách thức bảo mật từ lâu. Đối với Web3, các quy trình xác thực này thường liên kết trực tiếp với việc tạo ví, quản lý khóa hoặc ủy quyền giao dịch. Bất kỳ lỗ hổng nào đều có thể dẫn đến mất tài sản trực tiếp chứ không chỉ rò rỉ dữ liệu.

Bài học bảo mật và khuyến nghị bảo vệ người dùng

Sự cố Polymarket mang lại một số bài học bảo mật quan trọng cho người sở hữu tài sản số:

• Cẩn trọng khi sử dụng dịch vụ xác thực bên thứ ba. Ưu tiên ví tự lưu ký và giải pháp quản lý khóa độc lập.
• Triển khai bảo vệ đa lớp, như ví phần cứng và trình xác thực độc lập.
• Với nền tảng ít sử dụng, hãy chuyển tài sản về địa chỉ cá nhân kiểm soát càng sớm càng tốt.
• Theo dõi cập nhật dự án chính thức, cảnh báo bảo mật và phản hồi cộng đồng để kịp thời ứng phó rủi ro tiềm ẩn.

Kết luận

Tóm lại, sự cố bảo mật tại Polymarket không ảnh hưởng đến an toàn của giao thức cốt lõi, nhưng đã phơi bày rõ rủi ro hệ thống tiềm ẩn từ xác thực danh tính bên thứ ba trong hệ sinh thái Web3. Khi ngành tiền mã hóa tiếp tục hướng tới tăng trưởng người dùng và nâng cao trải nghiệm, việc cân bằng giữa tính tiện dụng và an toàn tài sản sẽ vẫn là thách thức lớn đối với mọi nền tảng.