加密預測市場龍頭 Polymarket 傳出資金遭竊,多名用戶在 12 月 24 日凌晨於 X 與 Reddit 狂怒「帳戶餘額被清空」。
平台旋即在官方 Discord 承認安全漏洞,並指向「第三方服務供應商」。鏈上追蹤工具 Lookonchain 隨後鎖定錢包服務業者 Magic Labs,讓這起事件成為 2025 年末最受關注的加密市場安全破口。
官方稱已修復,但仍有人擔心
用戶爆料後不到一小時,Polymarket 發布公告:
我們發現一個與第三方服務供應商相關的漏洞,目前已完成修復。受影響的用戶僅占極少數,我們將主動聯繫這些用戶。
公告未揭露損失金額與受害人數,卻引起了更大的恐慌。依照 Polymarket 2025 年的平台單月成交額,每月都是數十億美元估算,即便「極少數」也可能是高額損失。
不同於常見釣魚攻擊,事發當下沒有可疑連結流傳,許多受害者甚至啟用電子郵件 2FA。防線被繞過的關鍵,不在用戶端,而在後台的第三方認證。
Magic Labs 登入機制成為破口
Polymarket 為降低門檻,引入 Magic Labs 的「Email 一鍵生成非託管錢包」。用戶無需保管助記詞,寄送驗證碼即可操作以太坊資產。而攻擊者直接利用 Magic Labs 認證層的系統漏洞取得錢包控制權,2FA 等同無效。
目前鏈上流向顯示,駭客地址短時間內拆分資產並透過多層混幣,增加追查難度。官方雖稱「已經修復」,但尚未回應社群要求的完整事後報告。
與此同時,安全公司 SlowMist 警告 GitHub 出現惡意 Polymarket 跟單機器人,專門針對自建交易腳本的高階玩家。該程式會讀取本地配置檔並偷偷傳出私鑰,雖與 Magic Labs 漏洞無直接關聯,卻在同一天爆發。
