去中心化预测平台 Polymarket 刚刚证实,在最近的安全事件中,一些用户帐户遭到入侵,该事件源于第三方身份验证提供商的漏洞,而不是平台的核心基础设施。
用户反映即使没有点击可疑链接,也蒙受了经济损失。
本周,X(Twitter)和Reddit上开始出现账户被盗的首批报告,许多用户Chia他们的整个交易仓位都被平仓,余额几乎为零。
一位用户在Reddit上发帖称,尽管他的设备并未被入侵,谷歌账户也没有任何可疑活动,其他服务也都安全无虞,但他还是收到了三条异常的Polymarket登录提醒。登录Polymarket后,他发现所有交易都被关闭,账户余额仅剩0.01镁。
另一起案例报告称,用户收到大量未经授权的登录通知,之后其 Polymarket 账户中的所有资金都被提取,尽管他们没有点击任何链接,并且其电子邮件已启用双因素身份验证 (2FA)。
与 Magic Labs 相关
根据社群反馈,该问题似乎仅影响通过 Magic Labs 注册 Polymarket 的用户。这项服务允许用户使用邮箱登录,并自动创建一个非托管的以太坊钱包,通常供尚未拥有个人钱包的加密新手使用。
Polymarket:问题已解决,不再风险。
周二,Polymarket 在其项目 Discord 频道上官方承认了该问题。公告称,平台已查明并解决了该问题,并确认不存在任何剩余风险。
立即加入BingX ,即可享受各种优惠并体验顶级安全标准。
Polymarket表示:
- 该问题仅影响了少数用户。
- 原因是第三方身份验证提供商存在漏洞。
- 团队将主动联系受影响的账户。
然而,Polymarket 在其官方公告中并未披露受影响的用户数量、被盗资产的价值,也没有透露第三方供应商的名称。
这并非Polymarket次遭遇安全事件。
这并非Polymarket次面临与用户安全相关的问题。
- 2024年9月,许多使用谷歌账户登录的用户报告称,他们的USDC钱包被完全提取,攻击者使用代理命令将资金转移到钓鱼地址。当时,Polymarket也怀疑这与第三方身份验证服务有关。
- 上个月,另一起利用 Polymarket 评论区进行的钓鱼活动造成了超过 50 万镁的损失,诈骗者发布仿盘链接,引导用户访问需要使用虚假电子邮件地址登录的页面。
用户警告
这一链事件次凸显了登录身份验证和用户体验(UX) 正在成为 Web3 平台的主要弱点,尤其是针对新用户的“使用电子邮件登录”解决方案。
