投資
ローンチパッド
CandyDrop
キャンディーを集めてエアドロップを獲得
Launchpool
クイックステーキング
潜在的な新しいトークンを獲得しよう
HODLer Airdrop
GTを保有して、大量のエアドロップを無料で入手
Launchpad
次の大きなトークンプロジェクトを一足先に
Alphaポイント
NEW
オンチェーン資産を取引して、Airdrop報酬を楽しもう!
先物ポイント
NEW
先物ポイントを獲得し、Airdrop報酬を受け取りましょう。
ドル安、連邦準備制度の利下げ期待が再燃、アナリスト:2026年「価値下落取引」がビットコイン大爆発を促す可能性
6時間前
2025 年の締めくくりが近づく中、マスクが吹いた嘘は一つも実現していない
7時間前
人気の話題
もっと見る19.43K 人気度
47.75K 人気度
56.37K 人気度
89.96K 人気度
3.7K 人気度
ピン
Polymarket 承認用戶資金遭竊、「一鍵登入」第三方サービスが突破口に
Polymarket 聖誕前夕爆出資金遭竊,漏洞源自第三方錢包服務 Magic Labs,突顯 Web3 便利性背後的單點風險。
(前情提要:預測市場龍頭 Polymarket 宣布自建 L2,Polygon 的王牌沒了? )
(背景補充:如何通過 Polymarket 套利實現年化 40% 收益? )
オンチェーン出金予測市場のリーダー Polymarket は資金流出が発生し、多くのユーザーが 12 月 24 日未明に X と Reddit で「アカウント残高が空になった」と怒りをあらわにした。
プラットフォームは直ちに公式 Discord でセキュリティホールを認め、「第三者サービス提供者」に起因すると指摘した。ブロックチェーン追跡ツール Lookonchain はその後、ウォレットサービス業者 Magic Labs を特定し、この事件は 2025 年末に最も注目されるオンチェーン出金のセキュリティ脆弱性となった。
公式は修復済みと述べているが、依然として懸念の声がある。
ユーザーからの暴露後わずか1時間で、Polymarket は以下の公告を発表した。
この公告は損失額や被害者数を明示しなかったが、より大きなパニックを引き起こした。Polymarket の2025年のプラットフォーム月間取引高は数十億ドルと推定されており、「ごく少数」といえども高額な損失となる可能性がある。
一般的なフィッシング攻撃とは異なり、事件当時は疑わしいリンクは流布されず、多くの被害者はメールの2FAも有効にしていた。防御の突破口はクライアント側ではなく、バックエンドの第三者認証にあった。
Magic Labs のログイン仕組みが脆弱性の原因
Polymarket は敷居を下げるために、Magic Labs の「Email 一鍵生成非託管ウォレット」を導入している。ユーザーは助記詞を保管せず、認証コードを送るだけでイーサリアム資産を操作できる仕組みだ。しかし、攻撃者は Magic Labs の認証層のシステム脆弱性を突き、ウォレットの制御権を奪取した。2FA は事実上無効化された。
現在のオンチェーン流出状況は、ハッカーのアドレスが短時間で資産を分散させ、多層のミキシングを経由して追跡を困難にしている。公式は「修復済み」としているが、コミュニティからの完全な事後報告の要請には応じていない。
一方、セキュリティ企業 SlowMist は、GitHub に悪意のある Polymarket の追従ボットが現れ、自動取引スクリプトを実行する高階プレイヤーを狙っていると警告している。このプログラムはローカルの設定ファイルを読み取り、秘密鍵を密かに送信するもので、Magic Labs の脆弱性とは直接関係ないが、同じ日に発生した。