PolyMarket用戶被盜事件快速瞭解 在過去的 24 小時內，Reddit 社區出現了一則引發恐慌的反饋。一名 PolyMarket 用戶發帖稱，自己的賬戶資金被瞬間清空。在查看後臺日誌後，該用戶發現了三次不明的登錄嘗試。 隨著帖子的熱度上升，評論區陸續有其他用戶表示遭遇了幾乎完全相同的情況：賬戶被盜，資金不知去向。 據不完全統計，聲稱遭受損失的用戶累計金額已超過 30,000 美元。 而經過比對，受害者們都有一個極為關鍵的共同點： 他們均使用了 MagicLink（即通過郵箱收到的一次性鏈接）的方式進行登錄。 🔹什麼是 MagicLink 登錄？ MagicLink 是一種無密碼登錄技術。在 PolyMarket 中，它允許用戶無需管理複雜的助記詞或私鑰，僅通過輸入電子郵箱並點擊郵件中的“魔力鏈接”（Magic Link），即可生成並訪問一個與其郵箱綁定的加密錢包。 這種方式極大地降低了 Web2 用戶進入 Web3 的門檻，但也引入了安全風險，儘管MagicLink使用了複雜的加密方式來確保安全，但沒有改變私鑰是託管在中心化服務的本質。 🔹事件的原因查明瞭嗎？ 目前分析認為，本次攻擊極可能與MagicLink登錄機制存在漏洞有關。 一方面，有用戶發現Polymarket登錄時的一次性驗證碼（OTP）曾經只有3位，事發後才緊急增加到6位，這表明此前3位數驗證碼過於簡單，可能被惡意暴力破解； 另一方面，有受害者的資金直接被Polymarket平臺自有的Relay合約提走，過程並未通過任何外部釣魚網站或用戶主動確認，暗示攻擊者可能利用了平臺自身的簽名或權限驗證漏洞。 綜合來看，攻擊可能源於MagicLink服務或郵件流程存在安全缺陷，例如服務被入侵、郵件服務器被劫持，或平臺的授權流程被繞過。 但目前Polymarket僅在Discord中發佈消息稱問題來自第三方驗證供應商，尚未給出官方的正式說明，具體原因仍有待揭曉。 🔹給用戶的安全建議 為了您的資產安全，我們有以下幾點建議： 🛡️警惕中心化/託管式登錄： 依賴郵箱或中心化服務生成錢包的登錄方式（如 MagicLink），雖然便捷，但在安全性上存在單點故障風險。切勿長期使用此類賬戶存放，或在其中保留大額資金。 🛡️優先選用完全去中心化錢包： PolyMarket 支持多種連接方式。建議用戶立刻轉移資金，改用 MetaMask等完全由用戶掌握私鑰（Self-Custody）的去中心化錢包進行登錄。 🛡️進階防護：使用硬件錢包： 對於資金量較大的用戶，軟件錢包仍有被聯網攻擊的風險。最安全的方案是使Keystone 將私鑰離線存儲，以杜絕私鑰被黑客獲取後在你不知情的情況下轉移資產。