Attacchi ai portafogli degli utenti di Polymarket
Alcuni utenti dell’app di previsione Polymarket stanno segnalando che i loro portafogli sono stati misteriosamente svuotati dopo aver effettuato l’accesso tramite i loro account Google. Dopo aver effettuato depositi, gli utenti hanno trovato i loro portafogli con un saldo di zero. Gli attacchi non hanno colpito gli utenti che hanno utilizzato estensioni per i portafogli come MetaMask o Trustwallet. Cointelegraph ha parlato con due vittime di questi attacchi.
La prima vittima, conosciutasi con il nome utente Discord “HHeego”, ha riportato che il suo account Polymarket, il cui indirizzo termina con C3d4, è stato compromesso. HHeego ha dichiarato di aver depositato 1.085,80 dollari in USD Coin (USDC) da Binance su Polymarket il 5 agosto. Tuttavia, dopo ore di attesa, il deposito non è apparso nel suo account. Convinto che ci fosse qualcosa di sbagliato, HHeego si è unito al server Discord di Polymarket alla ricerca di aiuto, scoprendo che molti altri utenti avevano problemi simili, suggerendo un possibile problema di interfaccia utente. Più tardi, il deposito è apparso, ma è scomparso quasi immediatamente. La vittima ha riferito che il suo intero saldo in USDC, che ammontava a 1.188,72 dollari, è svanito.
La storia si complica ulteriormente poiché i suoi 2.000 dollari di operazioni aperte non furono toccati. HHeego ha scoperto che il suo saldo di USDC era stato inviato a un account contrassegnato come “Fake_Phishing399064” e ha presentato un ticket al servizio clienti. L’agente del supporto rimase incredulo riguardo alla situazione e si chiese se HHeego avesse effettuato un prelievo della somma. Gradualmente, si è convinto che il suo account fosse stato compromesso; i suoi fondi successivi di 4.111,31 dollari depositati l’11 agosto hanno subito lo stesso destino, portando le perdite totali a 5.197,11 dollari.
Storie dei vittimi: un’analisi
HHeego non è l’unico ad aver subito perdite significative. Il secondo vittima, che si fa chiamare “Cryptomaniac” su Discord, ha vissuto una situazione simile. Il 9 agosto, ha depositato 745 dollari, ma poche ore dopo il deposito, i fondi sono stati rapidamente prelevati e inviati all’account Fake_Phishing399064, come accaduto a HHeego. Quando Cryptomaniac ha contattato il servizio clienti di Polymarket, all’inizio ha ottenuto assistenza, ma dopo settimane di silenzio da parte del supporto, le sue speranze si sono affievolite. Ha dichiarato: “All’inizio mi hanno aiutato, ma dopo un mese hanno smesso di rispondere.”
In una comunicazione con il servizio clienti, Cryptomaniac ha ricevuto notizie allarmanti: l’agente gli ha rivelato che il team aveva già registrato cinque attacchi simili. Questo suggerisce che non si tratta di un evento isolato, ma di un problema sistemico che colpisce un numero crescente di utenti che utilizzano il login tramite Google. L’agente ha anche menzionato l’utilizzo di “email OTP” per autenticare gli accessi, insinuando che il colpevole potrebbe avere accesso alle email delle vittime, ma entrambi gli utenti hanno negato di aver mai acceduto al sistema tramite email.
Nel caso di HHeego, l’analisi della blockchain ha confermato la cronologia degli eventi, mostrando chiaramente come i fondi siano stati trasferiti tramite una chiamata a funzione proxy a beneficio dell’account di phishing. Nonostante ciò, HHeego e Cryptomaniac sono stati sfavoriti, non avendo la possibilità di difendersi efficacemente. L’assenza di falle nei loro accessi a Google ha reso la situazione ancora più confusa, alimentando il sospetto che il problema riguardi specifiche vulnerabilità nel sistema di login di Polymarket stesso.
Il numero crescente di rapporti di questo tipo solleva interrogativi sulla sicurezza del servizio e sulla responsabilità di Polymarket nei confronti dei propri utenti. La confusione e la frustrazione tra gli utenti colpiti continuano a crescere, mentre l’azienda non ha fornito risposte tempestive o chiare per risolvere la questione.
Come funzionano i login di Google su Polymarket
Polymarket utilizza il kit di sviluppo software Magic (SDK) di Magic Labs per consentire login senza password e senza seed, il che significa che gli utenti possono accedere all’app senza dover scaricare un portafoglio Web3 standard, come MetaMask o Coinbase Wallet. Secondo documenti precedenti di Polymarket, questo sistema genera una “chiave master utente” al momento della registrazione con un servizio integrato, come Polymarket stesso. Tale chiave può essere utilizzata per decrittare un’altra chiave criptata memorizzata sul dispositivo dell’utente.
La chiave master è conservata su un modulo di sicurezza hardware di Amazon Web Services (AWS), il che teoricamente dovrebbe impedire a un attaccante di avviare una transazione su Polymarket senza prima autenticarsi con il server AWS. Quando si utilizza un accesso tramite Google, un attaccante non dovrebbe essere in grado di autenticarsi senza ottenere l’accesso all’account Google del proprietario. Tuttavia, entrambi i nuovi utenti che hanno subito attacchi hanno dichiarato di non aver trovato alcuna prova di accesso non autorizzato ai loro account Google.
Un messaggio inviato a Cryptomaniac menzionava che l’attaccante aveva utilizzato “Email OTP” (una password monouso inviata via email) per autenticarsi con il server, suggerendo che l’aggressore potrebbe aver ottenuto accesso agli indirizzi email delle vittime. Tuttavia, entrambe le vittime hanno affermato di non aver mai utilizzato un’email per accedere alla piattaforma. Questo solleva interrogativi sull’integrità del sistema di login di Polymarket e sulle vulnerabilità specifiche che potrebbero consentire tali attacchi.
È chiaro che le nuove modalità di accesso, come Oauth o email OTP, potrebbero essere a rischio maggiore rispetto ai metodi tradizionali. Non avendo subito attacchi gli utenti che utilizzano estensioni di portafoglio, sembra che il problema riguardi in particolare coloro che usano il login tramite Google, indicando che la vulnerabilità possa risiedere nel metodo di autenticazione stesso piuttosto che nelle pratiche di sicurezza degli utenti.
Risposta di Polymarket e comunicazione con il servizio clienti
Le risposte da parte di Polymarket e la comunicazione con il servizio clienti hanno lasciato molti utenti insoddisfatti. HHeego, uno dei due vittimi, ha riferito che dopo aver subito il primo attacco e contattato il supporto, gli agenti sembravano scettici riguardo alla sua situazione e non fornivano informazioni utili. “Hanno detto che stavano investigando, ma il mio caso sembrava non avere la giusta priorità,” ha commentato HHeego. La confusione creata dalla risposta del servizio clienti ha precarizzato la fiducia degli utenti nella piattaforma.
Successivamente, dopo il secondo attacco che ha portato alle sue perdite totali, HHeego ha ricevuto ulteriori comunicazioni dal servizio assistenza. Un altro agente lo ha messo al corrente del fatto che il suo account era stato compromesso e ha suggerito di smettere di usarlo. Tuttavia, non gli sono stati forniti dettagli specifici riguardo alle cause della violazione e alle misure di sicurezza da adottare in futuro.
Diverse settimane dopo, HHeego ha ricevuto un messaggio finale che ha descritto la situazione come “complessa” e ha indicato che il team stava cercando di raccogliere tutti i dettagli necessari prima di comunicare i successivi passi. L’ambiguità di queste risposte ha continuato a generare frustrazione, poiché molti utenti, incluso HHeego, sentivano che le loro segnalazioni non venivano trattate con la dovuta serietà.
Anche Cryptomaniac ha vissuto un’esperienza simile con il servizio clienti. Sebbene inizialmente sorgessero comunicazioni promettenti, il supporto si è rapidamente fermato, lasciando Cryptomaniac con poche risposte. “Dopo settimane di attesa, ho sentito che non si prendevano il sorgere di questi problemi sul serio. Non avevo mai avuto problemi simili e ora mi sento abbandonato,” ha evidenziato. L’assenza di follow-up significativo da parte di Polymarket ha contribuito a un crescente senso di impotenza tra gli utenti vittime degli attacchi.
Inoltre, la mancanza di informazioni specifiche su come gli attaccanti avessero agito e la natura delle violazioni ha sollevato preoccupazioni più ampie sulla responsabilità della piattaforma nella protezione dei fondi degli utenti. Ad oggi, gli utenti continuano a richiedere maggiore trasparenza e comunicazione chiara riguardo le misure di sicurezza adottate da Polymarket per salvaguardare i loro investimenti.
Considerazioni finali sulla sicurezza e implicazioni per gli utenti
I recenti attacchi ai portafogli degli utenti di Polymarket hanno sollevato interrogativi significativi sulla sicurezza della piattaforma e sull’affidabilità dei metodi di autenticazione utilizzati. La vulnerabilità emersa, apparentemente legata ai login tramite Google, pone gravi preoccupazioni non solo per gli utenti di Polymarket, ma per l’intero ecosistema della finanza decentralizzata (DeFi). Sebbene gli attacchi abbiano colpito un numero limitato di utenti, la ripetizione delle segnalazioni evidenzia un potenziale problema sistemico che potrebbe avere implicazioni più ampie.
Le esperienze dei due utenti, HHeego e Cryptomaniac, evidenziano l’importanza di una robusta assistenza clienti in situazioni di crisi. La loro frustrazione è amplificata dalla mancanza di risposte chiare e tempestive da parte del servizio clienti di Polymarket. La risposta inizialmente scettica dei rappresentanti del supporto ha ulteriormente aggravato i loro timori, suggerendo che la piattaforma non prenda adeguatamente sul serio la sicurezza dei fondi dei clienti.
In aggiunta, il fatto che Polymarket utilizzi il sistema di login senza password attraverso Magic Labs, sebbene il concetto di sicurezza sembri promettente, non ha protetto efficacemente gli utenti da attacchi mirati. Questo solleva domande sulla sufficienza delle attuali misure di sicurezza; è necessaria una revisione approfondita per garantire che l’autenticazione tramite Google e altri metodi non crei vulnerabilità sfruttabili dagli attaccanti.
Per gli utenti di Polymarket, così come per quanti operano in ambito DeFi, la situazione evidenzia la necessità di essere proattivi nella protezione dei propri investimenti. L’utilizzo di portafogli hardware e pratiche sicure di gestione delle credenziali diventa vitale, così come mantenere sempre una certa cautela quando si utilizzano metodi di accesso innovativi.
Inoltre, la situazione mette in luce l’importanza di avere transparent communication from platforms regarding security measures, investigation outcomes, and updates on recent incidents. Senza un’elevata trasparenza e un impegno attivo per il miglioramento della sicurezza, la fiducia degli utenti nell’ecosistema delle criptovalute potrebbe continuare a diminuire.
