複数のユーザーが、最近の第三者認証プロバイダーに関連していると思われる侵害後に、主要な予測プラットフォームであるPolymarketで損失を報告しています。Polymarketユーザーは突然のアカウント侵害と残高の引き出しを訴える今週初め、XやReddit上でPolymarketのアカウント侵害の報告が浮上し、影響を受けたユーザーが突然の損失の詳細を共有しました。あるユーザーは、目覚めたときに自分のデバイスが侵害されていないと主張しているにもかかわらず、3回のログイン試行をアカウントで見たと書きました。そのユーザーは、Googleが何も怪しいとフラグを立てず、他のサービスも正常に見えたと述べました。しかし、プラットフォームを訪れた後、すべての未決済ポジションが閉じられ、残高がわずか0.01ドルにまで減少していることを発見し、完全なウォレットの空き巣被害を示唆しました。Redditの別のコメント者は、同様のPolymarketアカウント侵害を説明し、資金が消える前に3回のログイン通知を受け取ったと述べました。さらに、彼らはリンクをクリックしていないと主張し、メールに二要素認証を有効にしていたため、プロバイダー側での二要素認証バイパスの可能性に対する懸念を高めました。Magic Labsとメールベースのウォレットアクセスに焦点を当てる複数のソーシャルメディアの報告によると、影響を受けたアカウントの大部分はMagic Labsを通じて登録した顧客に属していました。このサービスは、ユーザーがメールアドレスでサインインし、バックエンドで自動的に非カストディアルのイーサリアムウォレットを作成します。Magic Labsは、デジタル資産ウォレットの経験がない初心者の暗号通貨ユーザーに広く利用されています。しかし、この便利さを重視したメールログインウォレットモデルは、サードパーティのインフラが侵害または誤設定された場合、攻撃の範囲を拡大する可能性もあります。XやDiscordの一部コミュニティメンバーは、脆弱性がMagic Labsの認証問題に直接関連していると推測しました。ただし、現段階ではこれらの主張は未検証であり、技術的な事後調査も公開されておらず、プロバイダーが侵害を公に認めていません。Polymarketはサードパーティのセキュリティ問題を確認Polymarketは、外部サービスに関連したセキュリティ問題により複数のユーザーアカウントが損失を被ったことを認めました。火曜日に、公式Discordチャンネルでこの事件について言及し、第三者認証プロバイダーが問題の中心であったことを確認しました。「最近、少数のユーザーに影響を与えるセキュリティ問題を特定し、解決しました」と、プラットフォームはDiscordのアップデートで述べました。さらに、Polymarketはこの問題が「第三者認証プロバイダーによって導入された脆弱性」に起因すると述べ、詳細な技術情報は提供しませんでした。何人のユーザーが影響を受けたかや、盗まれた総額については開示されていません。ただし、脆弱性は修正済みであり、現時点でのリスクは残っていないと強調しました。チームは、「影響を受けたユーザーと連絡を取り、個別のケースや返還について対応する」と付け加えました。ユーザーの推測にもかかわらず、Polymarketはこれまで、関与した特定のプロバイダーを明らかにしていません。The Blockは追加情報を求めてチームに連絡しましたが、執筆時点ではさらなる公式声明は報告されていません。過去の事例:ウォレットの空き巣とソーシャルフィッシング最新の攻撃は、予測プラットフォームにおける以前のセキュリティ課題を反映しています。2024年9月、Googleアカウント経由でログインした複数のユーザーが突然USDCウォレットの空き巣被害を報告し、攻撃者は「プロキシ」機能呼び出しを利用してユーザーファンドをフィッシングアドレスに移動させていました。当時、Polymarketはこれらの攻撃をターゲットを絞ったエクスプロイトの可能性として調査しており、再びコアプロトコルではなく第三者認証プロバイダーに関連していると述べました。以前のUSDCウォレットの空き巣報告は、外部のログインツールがオンチェーンの権限にどれだけのコントロールを持っているかについて疑問を投げかけました。また、先月、プラットフォームのコメント欄を悪用したフィッシングキャンペーンにより、報告されたユーザー損失は50万ドルを超えました。詐欺師は公式ページを模倣した偽のリンクを投稿し、ユーザーにメールログインを促すことで、インターフェースをフィッシングコメント詐欺に変えました。暗号通貨におけるサードパーティ認証の継続的な監視一連の出来事は、暗号セクター全体でのサードパーティ認証ソリューションへの監視を強化しています。従来のメールやソーシャルログインとブロックチェーンウォレットを橋渡しする便利ツールは、潜在的な単一障害点と見なされるようになっています。さらに、そのようなプロバイダーが侵害された場合、攻撃者はオンチェーンのスマートコントラクトを突破することなく、広範なアクセスを得る可能性があります。現時点では、Polymarketは即時の問題は解決済みであり、影響を受けたユーザーには直接連絡すると述べています。ただし、外部認証ベンダーへの依存が繰り返されることで、プラットフォームはより明確な透明性、詳細な権限設定、そしてこれらの統合に対するより強力な監視を求められる圧力が高まるでしょう。最近のPolymarketでの事件は、暗号市場における使いやすさとセキュリティの間の緊張を浮き彫りにしています。サードパーティのログインツールは初心者の障壁を下げることができますが、一方で新たな攻撃経路も導入し、プラットフォームとユーザーの両方がより積極的に理解し、対策を講じる必要があります。
ユーザーは、サードパーティ認証に関連したPolymarketの侵害を報告しています
複数のユーザーが、最近の第三者認証プロバイダーに関連していると思われる侵害後に、主要な予測プラットフォームであるPolymarketで損失を報告しています。
Polymarketユーザーは突然のアカウント侵害と残高の引き出しを訴える
今週初め、XやReddit上でPolymarketのアカウント侵害の報告が浮上し、影響を受けたユーザーが突然の損失の詳細を共有しました。あるユーザーは、目覚めたときに自分のデバイスが侵害されていないと主張しているにもかかわらず、3回のログイン試行をアカウントで見たと書きました。
そのユーザーは、Googleが何も怪しいとフラグを立てず、他のサービスも正常に見えたと述べました。しかし、プラットフォームを訪れた後、すべての未決済ポジションが閉じられ、残高がわずか0.01ドルにまで減少していることを発見し、完全なウォレットの空き巣被害を示唆しました。
Redditの別のコメント者は、同様のPolymarketアカウント侵害を説明し、資金が消える前に3回のログイン通知を受け取ったと述べました。さらに、彼らはリンクをクリックしていないと主張し、メールに二要素認証を有効にしていたため、プロバイダー側での二要素認証バイパスの可能性に対する懸念を高めました。
Magic Labsとメールベースのウォレットアクセスに焦点を当てる
複数のソーシャルメディアの報告によると、影響を受けたアカウントの大部分はMagic Labsを通じて登録した顧客に属していました。このサービスは、ユーザーがメールアドレスでサインインし、バックエンドで自動的に非カストディアルのイーサリアムウォレットを作成します。
Magic Labsは、デジタル資産ウォレットの経験がない初心者の暗号通貨ユーザーに広く利用されています。しかし、この便利さを重視したメールログインウォレットモデルは、サードパーティのインフラが侵害または誤設定された場合、攻撃の範囲を拡大する可能性もあります。
XやDiscordの一部コミュニティメンバーは、脆弱性がMagic Labsの認証問題に直接関連していると推測しました。ただし、現段階ではこれらの主張は未検証であり、技術的な事後調査も公開されておらず、プロバイダーが侵害を公に認めていません。
Polymarketはサードパーティのセキュリティ問題を確認
Polymarketは、外部サービスに関連したセキュリティ問題により複数のユーザーアカウントが損失を被ったことを認めました。火曜日に、公式Discordチャンネルでこの事件について言及し、第三者認証プロバイダーが問題の中心であったことを確認しました。
「最近、少数のユーザーに影響を与えるセキュリティ問題を特定し、解決しました」と、プラットフォームはDiscordのアップデートで述べました。さらに、Polymarketはこの問題が「第三者認証プロバイダーによって導入された脆弱性」に起因すると述べ、詳細な技術情報は提供しませんでした。
何人のユーザーが影響を受けたかや、盗まれた総額については開示されていません。ただし、脆弱性は修正済みであり、現時点でのリスクは残っていないと強調しました。チームは、「影響を受けたユーザーと連絡を取り、個別のケースや返還について対応する」と付け加えました。
ユーザーの推測にもかかわらず、Polymarketはこれまで、関与した特定のプロバイダーを明らかにしていません。The Blockは追加情報を求めてチームに連絡しましたが、執筆時点ではさらなる公式声明は報告されていません。
過去の事例:ウォレットの空き巣とソーシャルフィッシング
最新の攻撃は、予測プラットフォームにおける以前のセキュリティ課題を反映しています。2024年9月、Googleアカウント経由でログインした複数のユーザーが突然USDCウォレットの空き巣被害を報告し、攻撃者は「プロキシ」機能呼び出しを利用してユーザーファンドをフィッシングアドレスに移動させていました。
当時、Polymarketはこれらの攻撃をターゲットを絞ったエクスプロイトの可能性として調査しており、再びコアプロトコルではなく第三者認証プロバイダーに関連していると述べました。以前のUSDCウォレットの空き巣報告は、外部のログインツールがオンチェーンの権限にどれだけのコントロールを持っているかについて疑問を投げかけました。
また、先月、プラットフォームのコメント欄を悪用したフィッシングキャンペーンにより、報告されたユーザー損失は50万ドルを超えました。詐欺師は公式ページを模倣した偽のリンクを投稿し、ユーザーにメールログインを促すことで、インターフェースをフィッシングコメント詐欺に変えました。
暗号通貨におけるサードパーティ認証の継続的な監視
一連の出来事は、暗号セクター全体でのサードパーティ認証ソリューションへの監視を強化しています。従来のメールやソーシャルログインとブロックチェーンウォレットを橋渡しする便利ツールは、潜在的な単一障害点と見なされるようになっています。さらに、そのようなプロバイダーが侵害された場合、攻撃者はオンチェーンのスマートコントラクトを突破することなく、広範なアクセスを得る可能性があります。
現時点では、Polymarketは即時の問題は解決済みであり、影響を受けたユーザーには直接連絡すると述べています。ただし、外部認証ベンダーへの依存が繰り返されることで、プラットフォームはより明確な透明性、詳細な権限設定、そしてこれらの統合に対するより強力な監視を求められる圧力が高まるでしょう。
最近のPolymarketでの事件は、暗号市場における使いやすさとセキュリティの間の緊張を浮き彫りにしています。
サードパーティのログインツールは初心者の障壁を下げることができますが、一方で新たな攻撃経路も導入し、プラットフォームとユーザーの両方がより積極的に理解し、対策を講じる必要があります。