Diverse segnalazioni di wallet sotto attacchi emergono tra gli utenti dell’app Polymarket, che denunciano la scomparsa dei loro fondi dopo aver effettuato l’accesso tramite Google.
Indagini in corso rivelano vulnerabilità nei metodi di autenticazione recenti e attacchi phishing. Vediamo di seguito tutti i dettagli.
Summary
Gli utenti Polymarket sotto attacchi denunciano il prosciugamento dei wallet dopo l’accesso tramite Google
Negli ultimi mesi, diversi utenti di Polymarket, una piattaforma popolare per le previsioni di mercato, hanno riportato uno scenario preoccupante: i loro wallet sono stati misteriosamente prosciugati dopo aver effettuato l’accesso tramite Google.
Mentre coloro che utilizzano portafogli Web3 standard, come MetaMask o Trustwallet, non sono stati coinvolti, gli utenti che si affidano ai più recenti metodi di accesso tramite OAuth o Email OTP sembrano essere le principali vittime.
Questo problema ha portato molti a interrogarsi sulla sicurezza di queste nuove modalità di autenticazione e sulle possibili falle nel sistema.
Uno dei primi utenti a segnalare il problema è stato HHeego, un membro della comunità Discord di Polymarket. Secondo quanto dichiarato, il 5 agosto ha depositato circa $1.085,80 in USD Coin (USDC) sul suo conto Polymarket tramite Binance.
Tuttavia, dopo aver atteso ore senza vedere il deposito, si è unito al server Discord di Polymarket per cercare assistenza. Qui ha scoperto che altri utenti stavano riscontrando problemi simili.
Tranquillizzato dal fatto che si trattasse probabilmente di un semplice errore di interfaccia utente, HHeego ha smesso di preoccuparsi. Poco dopo, il deposito è finalmente apparso nel suo portafoglio.
Tuttavia, con la stessa rapidità con cui era comparso, l’intero saldo di $1.188,72 USDC è svanito, inclusi i $102,92 già presenti sul suo conto prima del deposito.
HHeego ha immediatamente ispezionato la cronologia delle transazioni attraverso l’esploratore di blocchi Polygonscan, dove ha scoperto che il suo saldo era stato trasferito a un account denominato “Fake_Phishing399064”.
Questo evento ha segnato l’inizio di un incubo.
Nonostante il prelievo dei fondi, le operazioni aperte di HHeego, per un valore complessivo di $2.000, sono rimaste intatte.
Questo strano dettaglio ha ulteriormente alimentato il mistero dietro l’attacco, facendo supporre che non si trattasse di una semplice vulnerabilità, ma di qualcosa di più mirato e specifico.
Il secondo attacco e l’intervento dell’assistenza clienti
Credendo inizialmente che il prosciugamento del suo portafoglio fosse solo un errore
temporaneo, HHeego ha deciso di depositare un’ulteriore somma di $4.111,31 l’11 agosto.
Ma, come accaduto in precedenza, i fondi sono stati immediatamente prelevati dallo stesso account di phishing, portando le sue perdite totali a ben $5.197,11. A questo punto, HHeego ha capito che il suo account era stato compromesso.
In seguito, ha deciso di chiudere tutte le sue operazioni, che ammontavano a circa $1.000, e ha ritirato i fondi rimanenti nel suo conto Binance. Sorprendentemente, l’hacker non ha toccato questi fondi, e il prelievo è andato a buon fine.
Questo ha rafforzato ulteriormente la sua convinzione che l’attacco fosse circoscritto alle somme depositate e non riguardasse i proventi delle operazioni già aperte.
Quando HHeego ha contattato nuovamente l’assistenza clienti di Polymarket, gli è stato detto che il suo account era stato probabilmente compromesso e che non avrebbe dovuto più utilizzarlo.
L’agente gli ha promesso che il team stava lavorando per comprendere meglio cosa fosse accaduto e che avrebbero fornito ulteriori dettagli a breve. Tuttavia, dopo un ultimo messaggio ricevuto il 15 agosto, non ha avuto più aggiornamenti dal team.
La seconda vittima: Cryptomaniac
Un altro utente, noto come “Cryptomaniac” su Discord, ha vissuto una situazione simile. Dopo aver depositato $745 il 9 agosto, i fondi sono stati sottratti dal suo conto e inviati allo stesso account di phishing coinvolto nel caso di HHeego.
Nonostante i primi tentativi di assistenza da parte del team di Polymarket, alla fine Cryptomaniac ha smesso di ricevere risposte.
Dopo settimane di tentativi infruttuosi di risolvere il problema, ha riferito che il team di assistenza clienti aveva cessato ogni comunicazione.
Cryptomaniac ha anche mostrato uno screenshot di una delle dichiarazioni ricevute dal servizio clienti, in cui l’agente affermava che l’attacco era stato osservato già in altre cinque occasioni, suggerendo l’esistenza di almeno tre ulteriori vittime.
Inoltre, è emerso che l’aggressore aveva utilizzato l’autenticazione tramite OTP email per accedere ai conti delle vittime. Fattore che implica una violazione più complessa del semplice phishing.
Vulnerabilità negli accessi tramite Google negli attacchi ai wallet Polymarket
Le indagini si sono concentrate sulle modalità di accesso utilizzate dalle vittime.
A differenza degli utenti che si avvalgono di portafogli Web3 come MetaMask o Trustwallet, i quali non sono stati colpiti, sia HHeego che Cryptomaniac avevano utilizzato l’accesso tramite Google per gestire i loro conti.
Polymarket, infatti, utilizza il kit di sviluppo Magic SDK per consentire agli utenti di accedere senza password o seed, facilitando il login tramite Google o email OTP.
Tuttavia, questo sistema sembra aver presentato una vulnerabilità non ancora chiarita. La quale ha permesso agli aggressori di sottrarre i fondi delle vittime senza compromettere i loro account Google.
Secondo i documenti di Magic Labs, il sistema genera una “chiave master utente” che viene archiviata in un modulo di sicurezza hardware di Amazon Web Services (AWS).
Questa chiave può essere utilizzata per decrittografare una seconda chiave crittografata memorizzata sul dispositivo dell’utente, consentendo di avviare transazioni su Polymarket.
Tuttavia, entrambe le vittime hanno dichiarato di non aver mai riscontrato accessi non autorizzati ai propri account Google, il che rende ancora più complessa la comprensione dell’attacco.