加密预测市场龙头 Polymarket 传出资金遭窃,多名用户在 12 月 24 日凌晨于 X 与 Reddit 狂怒「帐户余额被清空」。
平台旋即在官方 Discord 承认安全漏洞,并指向「第三方服务供应商」。链上追踪工具 Lookonchain 随后锁定钱包服务业者 Magic Labs,让这起事件成为 2025 年末最受关注的加密市场安全破口。
官方称已修复,但仍有人担心
用户爆料后不到一小时,Polymarket 发布公告:
我们发现一个与第三方服务供应商相关的漏洞,目前已完成修复。受影响的用户仅占极少数,我们将主动联系这些用户。
公告未揭露损失金额与受害人数,却引起了更大的恐慌。依照 Polymarket 2025 年的平台单月成交额,每月都是数十亿美元估算,即便「极少数」也可能是高额损失。
不同于常见钓鱼攻击,事发当下没有可疑连结流传,许多受害者甚至启用电子邮件 2FA。防线被绕过的关键,不在用户端,而在后台的第三方认证。
Magic Labs 登入机制成为破口
Polymarket 为降低门槛,引入 Magic Labs 的「Email 一键生成非托管钱包」。用户无需保管助记词,寄送验证码即可操作以太坊资产。而攻击者直接利用 Magic Labs 认证层的系统漏洞取得钱包控制权,2FA 等同无效。
目前链上流向显示,骇客地址短时间内拆分资产并透过多层混币,增加追查难度。官方虽称「已经修复」,但尚未回应社群要求的完整事后报告。
与此同时,安全公司 SlowMist 警告 GitHub 出现恶意 Polymarket 跟单机器人,专门针对自建交易脚本的高阶玩家。该程式会读取本地配置档并偷偷传出私钥,虽与 Magic Labs 漏洞无直接关联,却在同一天爆发。
