Polymarket 已确认发生一起安全事件,该事件是由第三方身份验证提供商的漏洞引起的,导致部分用户帐户中的资产被完全提取。
Polymarket证实发生安全漏洞,部分账户资金被完全提取。
12月24日,加密市场领先的预测市场平台Polymarket官方确认,该项目遭遇安全漏洞,导致部分用户账户余额完全丢失。
用户发现自己的账户被盗用,尽管他们并没有点击任何可疑链接。
- 在Reddit和X等社群连续数日报告用户提取后,Polymarket发布了这一信息,引发了人们对目前市场上最大的预测市场平台安全性的担忧。
- 本周早些时候出现了初步报告,许多用户报告称收到了大量关于异常登录的通知,之后发现他们所有的交易仓位都被平仓,余额几乎为零。
值得注意的是,一些受害者表示他们没有点击任何钓鱼链接,没有安装任何奇怪的扩展程序,其他服务也运行正常,这很快将怀疑指向了 Polymarket 的登录系统,而不是用户错误。
Polymarket发表声明称,该错误源于第三方身份验证提供商。
在收到社群的大量反馈后,Polymarket 在该项目的 Discord 频道上官方回应,确认该平台最近发生了一起安全事件,影响了有限数量的用户。
据 Polymarket 称,该漏洞不在于智能合约或协议的核心基础设施,而在于集成到登录过程中的第三方身份验证服务提供商。
- 该项目声明称,该问题已被发现并已完全解决,并确认目前不存在持续的安全风险,且大多数用户不受影响。
Polymarket承诺将主动联系受影响的账户,处理后续事宜。然而,该平台并未透露受影响用户的具体人数、损失的资产价值,也没有公布涉事第三方验证服务提供商的名称,这社群留下了许多疑问。
Magic Labs 被社群提及。
尽管 Polymarket 没有透露涉事第三方身份验证提供商的身份,但社群中的许多用户认为Magic Labs 很可能是导致次事件的源头。
Magic Labs 是一款直接集成到 Polymarket 的电子邮件登录服务,用户无需管理Seed记词或设置传统钱包即可创建非托管钱包。该解决方案因其显著下降入门门槛而评估,使新手能够通过类似 Web 2 的体验轻松访问加密。
然而,这种模式经常引发人们对其安全漏洞的担忧。在X平台上,一位用户报告称,尽管他没有点击任何可疑链接或收到钓鱼邮件,但他的Polymarket钱包却被提取了,并确认该账户是通过Magic Labs创建的。
- 类似的反馈让社群开始质疑电子邮件身份验证机制中的漏洞是否会继续成为一个弱点,尤其背景Magic Labs 之前曾因其预测市场平台相关的安全事件而被点名。
这并非Polymarket第次出现问题。
这并非Polymarket次遭遇涉及第三方的安全事件。此前,在2024年9月,部分通过Google账户登录Polymarket的用户报告,他们的USDC钱包被代理函数调用提取;当时,Polymarket也调查了该漏洞是否源于外部身份验证提供商。
- 随后,在 2025 年 11 月,该平台遭受了另一次大规模钓鱼攻击,诈骗分子利用评论区发布仿盘链接,诱骗用户登录,造成超过 50 万镁的损失。
- 这一链事件揭示了一个系统性风险,该风险并非存在于协议的核心智能合约中,而是存在于用户体验层以及 Web2 和 Web3 之间的混合身份验证机制中。
Coin68 汇编
