Diverses signalements de portefeuilles sous attaques émergent parmi les utilisateurs de l’application Polymarket, qui dénoncent la disparition de leurs fonds après s’être connectés via Google.
Enquêtes en cours révèlent des vulnérabilités dans les méthodes d’authentification récentes et des attaques de phishing. Voyons ci-dessous tous les détails.
Summary
Les utilisateurs de Polymarket sous attaque dénoncent le vidage des portefeuilles après l’accès via Google
Au cours des derniers mois, plusieurs utilisateurs de Polymarket, une plateforme populaire pour les prévisions de marché, ont signalé un scénario préoccupant : leurs portefeuilles ont été mystérieusement vidés après s’être connectés via Google.
Alors que ceux qui utilisent des portefeuilles Web3 standard, comme MetaMask ou Trustwallet, n’ont pas été impliqués, les utilisateurs qui se fient aux méthodes d’accès les plus récentes via OAuth ou Email OTP semblent être les principales victimes.
Ce problème a conduit beaucoup de gens à s’interroger sur la sécurité de ces nouvelles modalités d’authentification et sur les possibles failles dans le système.
Un des premiers utilisateurs à signaler le problème a été HHeego, un membre de la communauté Discord de Polymarket. Selon ses déclarations, le 5 août, il a déposé environ 1.085,80 $ en USD Coin (USDC) sur son compte Polymarket via Binance.
Toutefois, après avoir attendu des heures sans voir le dépôt, il a rejoint le serveur Discord de Polymarket pour chercher de l’aide. Ici, il a découvert que d’autres utilisateurs rencontraient des problèmes similaires.
Rassuré par le fait qu’il s’agissait probablement d’une simple erreur d’interface utilisateur, HHeego a cessé de s’inquiéter. Peu de temps après, le dépôt est finalement apparu dans son portefeuille.
Cependant, avec la même rapidité avec laquelle il était apparu, l’ensemble du solde de $1.188,72 USDC a disparu, y compris les $102,92 déjà présents sur son compte avant le dépôt.
HHeego a immédiatement inspecté l’historique des transactions via l’explorateur de blocs Polygonscan, où il a découvert que son solde avait été transféré à un compte nommé « Fake_Phishing399064 ».
Cet événement a marqué le début d’un cauchemar.
Malgré le retrait des fonds, les opérations ouvertes de HHeego, pour une valeur totale de $2.000, sont restées intactes.
Ce détail étrange a encore alimenté le mystère derrière l’attaque, laissant supposer qu’il ne s’agissait pas d’une simple vulnérabilité, mais de quelque chose de plus ciblé et spécifique.
La deuxième attaque et l’intervention du service client
Croyant initialement que le dessèchement de son portefeuille n’était qu’une erreur
temporaire, HHeego a décidé de déposer une somme supplémentaire de $4.111,31 le 11 août.
Mais, comme cela s’était produit auparavant, les fonds ont été immédiatement retirés du même compte de phishing, portant ses pertes totales à bien $5.197,11. À ce stade, HHeego a compris que son compte avait été compromis.
Par la suite, il a décidé de fermer toutes ses opérations, qui s’élevaient à environ 1 000 $, et il a retiré les fonds restants sur son compte Binance. Étonnamment, le hacker n’a pas touché à ces fonds, et le retrait s’est bien déroulé.
Cela a encore renforcé sa conviction que l’attaque était limitée aux sommes déposées et ne concernait pas les revenus des opérations déjà ouvertes.
Quand HHeego a recontacté le service client de Polymarket, on lui a dit que son compte avait probablement été compromis et qu’il ne devrait plus l’utiliser.
L’agent lui a promis que l’équipe travaillait pour mieux comprendre ce qui s’était passé et qu’ils fourniraient plus de détails sous peu. Cependant, après un dernier message reçu le 15 août, il n’a plus eu de mises à jour de l’équipe.
La deuxième victime : Cryptomaniac
Un autre utilisateur, connu sous le nom de « Cryptomaniac » sur Discord, a vécu une situation similaire. Après avoir déposé 745 $ le 9 août, les fonds ont été retirés de son compte et envoyés au même compte de phishing impliqué dans le cas de HHeego.
Malgré les premières tentatives d’assistance de la part de l’équipe de Polymarket, Cryptomaniac a finalement cessé de recevoir des réponses.
Après des semaines de tentatives infructueuses pour résoudre le problème, il a rapporté que l’équipe du service client avait cessé toute communication.
Cryptomaniac a également montré une capture d’écran de l’une des déclarations reçues du service client, dans laquelle l’agent affirmait que l’attaque avait déjà été observée à cinq autres occasions, suggérant l’existence d’au moins trois autres victimes.
En outre, il est apparu que l’agresseur avait utilisé l’authentification par OTP email pour accéder aux comptes des victimes. Facteur qui implique une violation plus complexe que le simple phishing.
Vulnérabilité dans les accès via Google dans les attaques aux wallet Polymarket
Les enquêtes se sont concentrées sur les modalités d’accès utilisées par les victimes.
À la différence des utilisateurs qui utilisent des portefeuilles Web3 comme MetaMask ou Trustwallet, qui n’ont pas été touchés, tant HHeego que Cryptomaniac avaient utilisé l’accès via Google pour gérer leurs comptes.
Polymarket, en effet, utilise le kit de développement Magic SDK pour permettre aux utilisateurs d’accéder sans mot de passe ou seed, facilitant la connexion via Google ou email OTP.
Cependant, ce système semble avoir présenté une vulnérabilité non encore clarifiée. Laquelle a permis aux agresseurs de soustraire les fonds des victimes sans compromettre leurs comptes Google.
Selon les documents de Magic Labs, le système génère une « chiave master utente » qui est stockée dans un module de sécurité matériel d’Amazon Web Services (AWS).
Cette clé peut être utilisée pour déchiffrer une deuxième clé cryptée stockée sur l’appareil de l’utilisateur, permettant de démarrer des transactions sur Polymarket.
Cependant, les deux victimes ont déclaré n’avoir jamais constaté d’accès non autorisés à leurs comptes Google, ce qui rend encore plus complexe la compréhension de l’attaque.
