Beberapa pengguna Polymarket melaporkan serangan pada akun yang masuk melalui Google

Pada tanggal 29 September, Cointelegraph melaporkan bahwa beberapa pengguna pasar prediksi Polymarket baru-baru ini melaporkan serangan dompet. Para penyerang menggunakan fungsi "proxy" untuk mencuri saldo USDC dari korban, terutama mempengaruhi pengguna yang masuk dengan akun Google. Seorang pengguna, HHeego, diserang pada tanggal 5 dan 11 Agustus, kehilangan total sekitar $5,197.11 USD. Pengguna lain, Cryptomaniac, kehilangan $745 pada tanggal 9 Agustus.

Layanan pelanggan Polymarket mengakui bahwa mereka telah menemukan setidaknya lima kasus serangan serupa, di mana para penyerang diduga menggunakan "kata sandi satu kali email" untuk masuk ke akun korban. Namun, para korban mengatakan mereka tidak pernah menggunakan alamat email mereka untuk mengakses platform. Pengguna yang menggunakan ekstensi dompet browser seperti MetaMask atau Trustwallet tidak terpengaruh. Polymarket menggunakan SDK dari Magic Labs untuk memungkinkan login tanpa kata sandi dan frasa benih, yang secara teori akan mengharuskan penyerang mengakses akun Google pengguna untuk melakukan autentikasi. Namun, korban melaporkan tidak ada tanda-tanda akun Google yang dikompromikan. Polymarket dan Magic Labs belum menanggapi insiden tersebut.