Polymarket punta il dito contro uno strumento di login di terze parti dopo le segnalazioni di account violati

Negli ultimi giorni diversi utenti della piattaforma di mercati predittivi Polymarket hanno segnalato accessi non autorizzati e la sparizione dei fondi dai propri conti; la società ha attribuito l’incidente a un provider di autenticazione di terze parti non identificato.

Le segnalazioni sono emerse e sono state confermate su Discord, dove alcuni utenti hanno denunciato avvisi di login inattesi e transazioni che hanno azzerato i saldi.

Sui social sono comparsi post su Reddit e X in cui più utenti riportano di aver ricevuto notifiche di accesso e di aver poi trovato il conto prosciugato: un utente ha detto che il saldo è sceso a un centesimo pur non avendo dispositivi compromessi né altri servizi interessati; un altro ha perso circa 2.000 dollari nonostante avesse attivato la autenticazione a due fattori.

Alcuni report indicano che account di vario tipo — tra cui conti considerati di alto valore e account di prova — sono stati svuotati, suggerendo che il problema non fosse limitato a un singolo profilo utente.

Pur non avendo nominato esplicitamente il fornitore coinvolto, diversi utenti hanno indicato Magic Labs, un servizio che permette accessi via email e la creazione automatica di wallet per gli utenti. Questo strumento è popolare perché consente ai neofiti senza portafoglio crittografico di accedere facilmente a piattaforme come Polymarket.

Contesto tecnico e possibili cause

I servizi di autenticazione di terze parti semplificano l’onboarding ma introducono un punto concentrato di rischio: se il provider viene compromesso, l’accesso a più piattaforme che si affidano allo stesso servizio può essere ottenuto dagli aggressori.

Nel caso segnalato, la vulnerabilità sembra essere stata introdotta dal provider esterno e non da un difetto intrinseco della piattaforma di mercati predittivi; tuttavia, la dipendenza da tali soluzioni rende più difficile per gli utenti mantenere il controllo esclusivo sui propri wallet e sulle chiavi di accesso.

Impatto sugli utenti e risposte ufficiali

Polymarket ha riconosciuto il problema senza specificare il numero di account compromessi né l’ammontare complessivo delle perdite.

Portavoce di Polymarket ha dichiarato:

“Abbiamo recentemente identificato e risolto un problema di sicurezza che ha interessato un numero ridotto di utenti. Il problema è stato causato da una vulnerabilità introdotta da un provider di autenticazione di terze parti. Polymarket prende la sicurezza molto seriamente e il problema è stato risolto. Non c’è rischio in corso al momento e contatteremo gli utenti coinvolti.”

Al momento non risultano dichiarazioni pubbliche da parte di Magic Labs; la società e il provider esterno non hanno rilasciato dettagli aggiuntivi sul numero di account interessati o sulle somme sottratte.

Raccomandazioni per gli utenti colpiti o a rischio

Per ridurre l’esposizione al rischio, è opportuno che gli utenti considerino alcune azioni pratiche: revocare le autorizzazioni dai provider esterni, spostare fondi significativi su wallet a gestione personale o su dispositivi hardware sicuri, e verificare la cronologia delle transazioni sulla blockchain.

È consigliabile inoltre abilitare e verificare l’efficacia della autenticazione a due fattori, usare indirizzi email e password uniche per ciascun servizio, controllare eventuali sessioni aperte e contattare il supporto della piattaforma per segnalare l’accaduto.

Implicazioni per il settore e possibili sviluppi

L’episodio mette in evidenza i limiti delle soluzioni che delegano l’autenticazione a provider esterni: sebbene facilitino l’adozione, aumentano l’area di attacco potenziale. Per questo motivo molte aziende del settore stanno rivalutando le procedure di sicurezza e la gestione delle chiavi.

Dal punto di vista regolamentare, incidenti di questo tipo possono richiamare l’attenzione delle autorità di regolamentazione sulla necessità di standard più stringenti per i servizi di custodia e per i provider di identità digitale, specialmente quando coinvolgono risorse finanziarie riconducibili agli utenti.

L’indagine sull’accaduto è ancora in corso e Polymarket ha comunicato di voler contattare direttamente gli utenti impattati per fornire supporto e informazioni sugli step successivi.