Verschiedene Meldungen von Wallet-Angriffen tauchen unter den Nutzern der App Polymarket auf, die das Verschwinden ihrer Gelder nach dem Login über Google. beklagen.
Untersuchungen laufen und zeigen Schwachstellen in den neuesten Authentifizierungsmethoden und Phishing-Angriffen auf. Im Folgenden sehen wir alle Details.
Summary
Die Polymarket-Nutzer unter Angriffen melden das Leeren der Wallets nach dem Zugriff über Google
In den letzten Monaten haben mehrere Benutzer von Polymarket, einer beliebten Plattform für Marktprognosen, ein besorgniserregendes Szenario gemeldet: Ihre Wallets wurden nach dem Einloggen über Google auf mysteriöse Weise geleert.
Während diejenigen, die standardmäßige Web3-Wallets wie MetaMask oder Trustwallet verwenden, nicht betroffen waren, scheinen die Benutzer, die sich auf die neuesten Zugriffsmethoden über OAuth oder Email OTP verlassen, die Hauptopfer zu sein.
Dieses Problem hat viele dazu gebracht, sich über die Sicherheit dieser neuen Authentifizierungsmethoden und die möglichen Schwachstellen im System Gedanken zu machen.
Einer der ersten Benutzer, der das Problem meldete, war HHeego, ein Mitglied der Discord-Community von Polymarket. Laut seinen Angaben hat er am 5. August etwa $1.085,80 in USD Coin (USDC) auf sein Polymarket-Konto über Binance eingezahlt.
Jedoch, nachdem er stundenlang gewartet hatte, ohne die Einzahlung zu sehen, trat er dem Discord-Server von Polymarket bei, um Hilfe zu suchen. Hier erfuhr er, dass andere Benutzer ähnliche Probleme hatten.
Beruhigt durch die Tatsache, dass es sich wahrscheinlich um einen einfachen Benutzeroberflächenfehler handelte, hörte HHeego auf, sich Sorgen zu machen. Kurz darauf erschien die Einzahlung endlich in seiner Brieftasche.
Jedoch verschwand das gesamte Guthaben von $1.188,72 USDC genauso schnell, wie es aufgetaucht war, einschließlich der $102,92, die bereits vor der Einzahlung auf seinem Konto waren.
HHeego hat sofort die Transaktionshistorie über den Polygonscan-Block-Explorer überprüft, wo er entdeckte, dass sein Guthaben auf ein Konto namens „Fake_Phishing399064“ übertragen worden war.
Dieses Ereignis markierte den Beginn eines Albtraums.
Trotz der Abhebung der Gelder blieben die offenen Positionen von HHeego im Gesamtwert von $2.000 intakt.
Dieses seltsame Detail hat das Mysterium hinter dem Angriff weiter angeheizt und ließ vermuten, dass es sich nicht um eine einfache Schwachstelle handelte, sondern um etwas gezielteres und spezifischeres.
Der zweite Angriff und das Eingreifen des Kundendienstes
Glaubend zunächst, dass die Austrocknung seines Portfolios nur ein Fehler war
vorübergehend hat HHeego beschlossen, einen weiteren Betrag von $4.111,31 am 11. August einzuzahlen.
Aber wie schon zuvor wurden die Gelder sofort von demselben Phishing-Konto abgehoben, was zu einem Gesamtverlust von satten $5.197,11 führte. Zu diesem Zeitpunkt erkannte HHeego, dass sein Konto kompromittiert worden war.
In der Folge beschloss er, alle seine Operationen zu schließen, die sich auf etwa $1.000 beliefen, und zog die verbleibenden Mittel auf seinem Binance-Konto ab. Überraschenderweise hat der Hacker diese Mittel nicht angerührt, und die Abhebung war erfolgreich.
Dies hat seine Überzeugung weiter gestärkt, dass der Angriff auf die eingezahlten Beträge beschränkt war und nicht die Erträge der bereits eröffneten Operationen betraf.
Als HHeego erneut den Kundenservice von Polymarket kontaktierte, wurde ihm mitgeteilt, dass sein Konto wahrscheinlich kompromittiert worden war und er es nicht mehr verwenden sollte.
Der Agent hat ihm versprochen, dass das Team daran arbeite, besser zu verstehen, was passiert sei, und dass sie in Kürze weitere Details liefern würden. Nach einer letzten Nachricht, die er am 15. August erhalten hatte, hat er jedoch keine weiteren Updates vom Team erhalten.
Das zweite Opfer: Cryptomaniac
Ein weiterer Benutzer, bekannt als „Cryptomaniac“ auf Discord, erlebte eine ähnliche Situation. Nachdem er am 9. August $745 eingezahlt hatte, wurden die Gelder von seinem Konto abgezogen und an dasselbe Phishing-Konto gesendet, das in den Fall von HHeego verwickelt war.
Trotz der ersten Versuche des Polymarket-Teams, Unterstützung zu leisten, hat Cryptomaniac schließlich aufgehört, Antworten zu erhalten.
Nach wochenlangen erfolglosen Versuchen, das Problem zu lösen, berichtete er, dass das Kundenserviceteam jegliche Kommunikation eingestellt hatte.
Cryptomaniac hat auch einen Screenshot von einer der vom Kundenservice erhaltenen Erklärungen gezeigt, in der der Agent erklärte, dass der Angriff bereits bei fünf anderen Gelegenheiten beobachtet worden sei, was auf die Existenz von mindestens drei weiteren Opfern hindeutet.
Außerdem stellte sich heraus, dass der Angreifer die Authentifizierung mittels OTP Email verwendet hatte, um auf die Konten der Opfer zuzugreifen. Dies deutet auf eine komplexere Verletzung als einfaches Phishing hin.
Schwachstellen bei den Zugängen über Google in den Angriffen auf die Polymarket-Wallets
Die Ermittlungen konzentrierten sich auf die Zugangsmodalitäten, die von den Opfern verwendet wurden.
Im Gegensatz zu den Nutzern, die Web3-Wallets wie MetaMask oder Trustwallet verwenden und nicht betroffen waren, hatten sowohl HHeego als auch Cryptomaniac den Zugang über Google genutzt, um ihre Konten zu verwalten.
Polymarket verwendet tatsächlich das Magic SDK-Entwicklungskit, um Benutzern den Zugang ohne Passwort oder Seed zu ermöglichen, was die Anmeldung über Google oder E-Mail-OTP erleichtert.
Jedoch scheint dieses System eine noch nicht geklärte Schwachstelle aufzuweisen. Diese hat es den Angreifern ermöglicht, die Gelder der Opfer zu stehlen, ohne ihre Google-Konten zu kompromittieren.
Laut den Dokumenten von Magic Labs generiert das System einen „chiave master utente“, der in einem Hardware-Sicherheitsmodul von Amazon Web Services (AWS) gespeichert wird.
Dieser Schlüssel kann verwendet werden, um einen zweiten verschlüsselten Schlüssel zu entschlüsseln, der auf dem Gerät des Benutzers gespeichert ist, wodurch Transaktionen auf Polymarket gestartet werden können.
Jedoch haben beide Opfer erklärt, niemals unbefugte Zugriffe auf ihre Google-Konten festgestellt zu haben, was das Verständnis des Angriffs noch komplizierter macht.