PolyMarket用户被盗事件快速了解 在过去的 24 小时内，Reddit 社区出现了一则引发恐慌的反馈。一名 PolyMarket 用户发帖称，自己的账户资金被瞬间清空。在查看后台日志后，该用户发现了三次不明的登录尝试。 随着帖子的热度上升，评论区陆续有其他用户表示遭遇了几乎完全相同的情况：账户被盗，资金不知去向。 据不完全统计，声称遭受损失的用户累计金额已超过 30,000 美元。 而经过比对，受害者们都有一个极为关键的共同点： 他们均使用了 MagicLink（即通过邮箱收到的一次性链接）的方式进行登录。 🔹什么是 MagicLink 登录？ MagicLink 是一种无密码登录技术。在 PolyMarket 中，它允许用户无需管理复杂的助记词或私钥，仅通过输入电子邮箱并点击邮件中的“魔力链接”（Magic Link），即可生成并访问一个与其邮箱绑定的加密钱包。 这种方式极大地降低了 Web2 用户进入 Web3 的门槛，但也引入了安全风险，尽管MagicLink使用了复杂的加密方式来确保安全，但没有改变私钥是托管在中心化服务的本质。 🔹事件的原因查明了吗？ 目前分析认为，本次攻击极可能与MagicLink登录机制存在漏洞有关。 一方面，有用户发现Polymarket登录时的一次性验证码（OTP）曾经只有3位，事发后才紧急增加到6位，这表明此前3位数验证码过于简单，可能被恶意暴力破解； 另一方面，有受害者的资金直接被Polymarket平台自有的Relay合约提走，过程并未通过任何外部钓鱼网站或用户主动确认，暗示攻击者可能利用了平台自身的签名或权限验证漏洞。 综合来看，攻击可能源于MagicLink服务或邮件流程存在安全缺陷，例如服务被入侵、邮件服务器被劫持，或平台的授权流程被绕过。 但目前Polymarket仅在Discord中发布消息称问题来自第三方验证供应商，尚未给出官方的正式说明，具体原因仍有待揭晓。 🔹给用户的安全建议 为了您的资产安全，我们有以下几点建议： 🛡️警惕中心化/托管式登录： 依赖邮箱或中心化服务生成钱包的登录方式（如 MagicLink），虽然便捷，但在安全性上存在单点故障风险。切勿长期使用此类账户存放，或在其中保留大额资金。 🛡️优先选用完全去中心化钱包： PolyMarket 支持多种连接方式。建议用户立刻转移资金，改用 MetaMask等完全由用户掌握私钥（Self-Custody）的去中心化钱包进行登录。 🛡️进阶防护：使用硬件钱包： 对于资金量较大的用户，软件钱包仍有被联网攻击的风险。最安全的方案是使Keystone 将私钥离线存储，以杜绝私钥被黑客获取后在你不知情的情况下转移资产。