去中心化預測平臺 Polymarket 剛剛證實,在最近的安全事件中,一些用戶帳戶遭到入侵,該事件源於第三方身份驗證提供商的漏洞,而不是平臺的核心基礎設施。
用戶反映即使沒有點擊可疑鏈接,也蒙受了經濟損失。
本週,X(Twitter)和Reddit上開始出現賬戶被盜的首批報告,許多用戶Chia他們的整個交易倉位都被平倉,餘額幾乎為零。
一位用戶在Reddit上發帖稱,儘管他的設備並未被入侵,谷歌賬戶也沒有任何可疑活動,其他服務也都安全無虞,但他還是收到了三條異常的Polymarket登錄提醒。登錄Polymarket後,他發現所有交易都被關閉,賬戶餘額僅剩0.01鎂。
另一起案例報告稱,用戶收到大量未經授權的登錄通知,之後其 Polymarket 賬戶中的所有資金都被提取,儘管他們沒有點擊任何鏈接,並且其電子郵件已啟用雙因素身份驗證 (2FA)。
與 Magic Labs 相關
根據社群反饋,該問題似乎僅影響通過 Magic Labs 註冊 Polymarket 的用戶。這項服務允許用戶使用郵箱登錄,並自動創建一個非託管的以太坊錢包,通常供尚未擁有個人錢包的加密新手使用。
Polymarket:問題已解決,不再風險。
週二,Polymarket 在其項目 Discord 頻道上官方承認了該問題。公告稱,平臺已查明並解決了該問題,並確認不存在任何剩餘風險。
立即加入BingX ,即可享受各種優惠並體驗頂級安全標準。
Polymarket表示:
- 該問題僅影響了少數用戶。
- 原因是第三方身份驗證提供商存在漏洞。
- 團隊將主動聯繫受影響的賬戶。
然而,Polymarket 在其官方公告中並未披露受影響的用戶數量、被盜資產的價值,也沒有透露第三方供應商的名稱。
這並非Polymarket次遭遇安全事件。
這並非Polymarket次面臨與用戶安全相關的問題。
- 2024年9月,許多使用谷歌賬戶登錄的用戶報告稱,他們的USDC錢包被完全提取,攻擊者使用代理命令將資金轉移到釣魚地址。當時,Polymarket也懷疑這與第三方身份驗證服務有關。
- 上個月,另一起利用 Polymarket 評論區進行的釣魚活動造成了超過 50 萬鎂的損失,詐騙者發佈仿盤鏈接,引導用戶訪問需要使用虛假電子郵件地址登錄的頁面。
用戶警告
這一鏈事件次凸顯了登錄身份驗證和用戶體驗(UX) 正在成為 Web3 平臺的主要弱點,尤其是針對新用戶的“使用電子郵件登錄”解決方案。
