去中心化預測平台 Polymarket 剛剛證實,在最近的安全事件中,一些使用者帳戶遭到入侵,該事件源自於第三方身分驗證提供者的漏洞,而不是平台的核心基礎設施。
用戶反映即使沒有點擊可疑鏈接,也蒙受了經濟損失。
本週,X(Twitter)和Reddit上開始出現帳戶被盜的首批報告,許多用戶Chia他們的整個交易倉位都被平倉,餘額幾乎為零。
一位用戶在Reddit上發文稱,儘管他的設備並未被入侵,谷歌帳號也沒有任何可疑活動,其他服務也都安全無虞,但他還是收到了三條異常的Polymarket登入提醒。登入Polymarket後,他發現所有交易都關閉,帳戶餘額只剩下0.01鎂。
另一起案例報告稱,用戶收到大量未經授權的登錄通知,之後其 Polymarket 帳戶中的所有資金都被提取,儘管他們沒有點擊任何鏈接,並且其電子郵件已啟用雙因素身份驗證 (2FA)。
與 Magic Labs 相關
根據社群回饋,該問題似乎僅影響透過 Magic Labs 註冊 Polymarket 的用戶。這項服務允許用戶使用郵箱登錄,並自動創建一個非託管的以太坊錢包,通常供尚未擁有個人錢包的加密新手使用。
Polymarket:問題已解決,不再風險。
週二,Polymarket 在其項目 Discord 頻道上官方承認了這個問題。公告稱,平台已查明並解決了該問題,並確認不存在任何剩餘風險。
立即加入BingX ,即可享有各種優惠並体验頂級安全標準。
Polymarket表示:
- 該問題僅影響了少數用戶。
- 原因是第三方身份驗證提供者存在漏洞。
- 團隊將主動聯繫受影響的帳戶。
然而,Polymarket 在其官方公告中並未揭露受影響的用戶數量、被盜資產的價值,也沒有透露第三方供應商的名稱。
這並非Polymarket次遭遇安全事件。
這並非Polymarket次面臨與使用者安全相關的問題。
- 2024年9月,許多使用Google帳號登入的用戶報告稱,他們的USDC錢包被完全提取,攻擊者使用代理命令將資金轉移到釣魚地址。當時,Polymarket也懷疑這與第三方身分驗證服務有關。
- 上個月,另一起利用 Polymarket 評論區進行的釣魚活動造成了超過 50 萬鎂的損失,詐騙者發布仿盤鏈接,引導用戶訪問需要使用虛假電子郵件地址登錄的頁面。
用戶警告
這一鏈事件次凸顯了登入身分驗證和使用者体验(UX) 正在成為 Web3 平台的主要弱點,尤其是針對新使用者的「使用電子郵件登入」解決方案。
