Polymarketは、第三者認証の脆弱性が悪用され、ユーザー資金が盗まれたことを確認しました。この事案により、リスクへの懸念が高まっています。

画像: https://x.com/TheBlock__/status/2003739551865475076

Polymarket、第三者認証の脆弱性による攻撃を確認　ユーザー資産が流出

2025年12月下旬、暗号資産予測市場プラットフォームPolymarketは、第三者の本人認証サービスを介したセキュリティインシデントを正式に認め、一部ユーザーの資産が盗まれたと発表しました。プラットフォームは、侵害がPolymarketのコアプロトコルやスマートコントラクトの欠陥によるものではなく、第三者認証サービスの脆弱性が悪用された結果であると強調しています。攻撃者は、この脆弱性を突いて対象ユーザーのアカウントを掌握し、資金を移動させました。

背景と公式声明

Polymarketの公式発表によれば、セキュリティ侵害はユーザーログイン時に発生し、主にワンクリックメールログインなど第三者認証サービス経由で登録・アクセスしたアカウントが影響を受けました。複数のユーザーが二要素認証（2FA）を有効化していたにもかかわらず、数分で残高が消失したと報告しています。

Polymarketは、脆弱性が既に修正されており、継続的な攻撃リスクは認められていないと説明しています。プラットフォームのコア市場メカニズム、スマートコントラクト、決済システムには影響がなく、侵害は外部認証プロセスのセキュリティ欠陥によるものと明確にしています。

攻撃手法と潜在的脆弱性メカニズム

業界分析や公開情報によると、今回の攻撃は一般的なフィッシングやユーザーによる秘密鍵漏洩ではありません。攻撃者は第三者認証プロセスの弱点を利用し、通常のログイン認証を回避してアカウントに紐づくウォレットを掌握したとみられます。ユーザーが悪意あるリンクを踏んだり、メール認証情報を漏洩したりしていなくても、被害が発生しました。

攻撃者がアカウントを掌握後、資産は外部アドレスへ迅速に移され、トランザクションの分割やチェーン上のオブスクレーションによって資金流を隠し、実損をもたらしました。

Polymarketは脆弱性の技術的詳細や関与した第三者プロバイダーについては現時点で開示していません。ただし、業界では、認証ソリューションが鍵管理やアカウント認可を外部委託する場合、これらが侵害されるとシステム全体のリスクとなるとの見方が一般的です。

ユーザーの声とコミュニティの反応

インシデント発覚後、ユーザーはコミュニティやSNSで体験を共有しました。あるユーザーは、異常なログイン通知後にPolymarketへ再ログインしたところ、残高がほぼ消失していたと報告。別のユーザーは危険な操作をしておらず、メールログインと2FAのみ利用していたにもかかわらず、短時間で資産が外部へ送金されたと述べています。

これらの事例はコミュニティ内で議論を呼び、多くのユーザーがWeb3プラットフォームでの「利便性の高いログイン」と「資産の安全性」のトレードオフを再考し始めています。分散型アプリのユーザー体験最適化が、セキュリティ境界の脆弱性を露呈する可能性があるとの指摘も見られます。

Polymarketの対応と現状

侵害確認後、Polymarketは即座に脆弱性を修正し、影響を受けたユーザーへの連絡を開始したと報告しています。プラットフォームは新たな不審な動きは確認されておらず、システムは安全に運用されていると強調しています。

また、公式声明ではコアスマートコントラクトや市場ロジックに影響はなかったと確認。セルフカストディウォレットを利用するユーザーや第三者認証を使わずにログインしたユーザーは、今回の攻撃の対象外でした。

現時点で、Polymarketは被害ユーザー数や金銭的損失の規模については公表していません。

業界視点：第三者認証が高リスク要因となる理由

業界全体から見ると、今回の事例はWeb3プラットフォームが第三者本人認証サービスに依存する際の構造的リスクを浮き彫りにしています。メールログインやソーシャルアカウント認証は参入障壁を下げる一方、新たな攻撃対象を生み出します。

Web2でもOAuthやソーシャルログインシステムは長年セキュリティ課題を抱えています。Web3では、これら認証プロセスがウォレット作成や鍵管理、トランザクション認可と直接結びつくため、脆弱性が生じるとデータ侵害だけでなく資産の直接的損失につながります。

セキュリティ教訓とユーザー保護の推奨事項

Polymarketのインシデントから暗号資産保有者が得られる主なセキュリティ教訓は以下の通りです：

• 第三者認証サービスの利用は慎重に。セルフカストディウォレットや独立した鍵管理ソリューションを優先する。
• ハードウェアウォレットや独立認証器など、多層的な保護を導入する。
• 使用頻度の低いプラットフォームでは、資産を速やかに個人管理アドレスへ移す。
• 公式プロジェクトのアップデートやセキュリティ警告、コミュニティのフィードバックを注視し、リスクに迅速に対応する。

結論

まとめると、Polymarketのセキュリティインシデントはコアプロトコルの安全性を損なうものではありませんでしたが、Web3エコシステムにおける第三者本人認証の潜在的なシステムリスクを明確に示しました。暗号資産業界がユーザー拡大や体験向上を追求する中、利便性と資産安全性のバランスは今後も全プラットフォームにとって重要な課題です。