Polymarket 已確認發生一起安全事件,該事件是由第三方身份驗證提供商的漏洞引起的,導致部分用戶帳戶中的資產被完全提取。
Polymarket證實發生安全漏洞,部分賬戶資金被完全提取。
12月24日,加密市場領先的預測市場平臺Polymarket官方確認,該項目遭遇安全漏洞,導致部分用戶賬戶餘額完全丟失。
用戶發現自己的賬戶被盜用,儘管他們並沒有點擊任何可疑鏈接。
- 在Reddit和X等社群連續數日報告用戶提取後,Polymarket發佈了這一信息,引發了人們對目前市場上最大的預測市場平臺安全性的擔憂。
- 本週早些時候出現了初步報告,許多用戶報告稱收到了大量關於異常登錄的通知,之後發現他們所有的交易倉位都被平倉,餘額幾乎為零。
值得注意的是,一些受害者表示他們沒有點擊任何釣魚鏈接,沒有安裝任何奇怪的擴展程序,其他服務也運行正常,這很快將懷疑指向了 Polymarket 的登錄系統,而不是用戶錯誤。
Polymarket發表聲明稱,該錯誤源於第三方身份驗證提供商。
在收到社群的大量反饋後,Polymarket 在該項目的 Discord 頻道上官方回應,確認該平臺最近發生了一起安全事件,影響了有限數量的用戶。
據 Polymarket 稱,該漏洞不在於智能合約或協議的核心基礎設施,而在於集成到登錄過程中的第三方身份驗證服務提供商。
- 該項目聲明稱,該問題已被發現並已完全解決,並確認目前不存在持續的安全風險,且大多數用戶不受影響。
Polymarket承諾將主動聯繫受影響的賬戶,處理後續事宜。然而,該平臺並未透露受影響用戶的具體人數、損失的資產價值,也沒有公佈涉事第三方驗證服務提供商的名稱,這社群留下了許多疑問。
Magic Labs 被社群提及。
儘管 Polymarket 沒有透露涉事第三方身份驗證提供商的身份,但社群中的許多用戶認為Magic Labs 很可能是導致次事件的源頭。
Magic Labs 是一款直接集成到 Polymarket 的電子郵件登錄服務,用戶無需管理Seed記詞或設置傳統錢包即可創建非託管錢包。該解決方案因其顯著下降入門門檻而評估,使新手能夠通過類似 Web 2 的體驗輕鬆訪問加密。
然而,這種模式經常引發人們對其安全漏洞的擔憂。在X平臺上,一位用戶報告稱,儘管他沒有點擊任何可疑鏈接或收到釣魚郵件,但他的Polymarket錢包卻被提取了,並確認該賬戶是通過Magic Labs創建的。
- 類似的反饋讓社群開始質疑電子郵件身份驗證機制中的漏洞是否會繼續成為一個弱點,尤其背景Magic Labs 之前曾因其預測市場平臺相關的安全事件而被點名。
這並非Polymarket第次出現問題。
這並非Polymarket次遭遇涉及第三方的安全事件。此前,在2024年9月,部分通過Google賬戶登錄Polymarket的用戶報告,他們的USDC錢包被代理函數調用提取;當時,Polymarket也調查了該漏洞是否源於外部身份驗證提供商。
- 隨後,在 2025 年 11 月,該平臺遭受了另一次大規模釣魚攻擊,詐騙分子利用評論區發佈仿盤鏈接,誘騙用戶登錄,造成超過 50 萬鎂的損失。
- 這一鏈事件揭示了一個系統性風險,該風險並非存在於協議的核心智能合約中,而是存在於用戶體驗層以及 Web2 和 Web3 之間的混合身份驗證機制中。
Coin68 彙編
