Polymarketは、サードパーティの脆弱性に関連したユーザーアカウントのハッキングを確認—2FAにもかかわらず資金が流出

分散型予測市場プラットフォームのPolymarketは、2025年12月25日に、サードパーティの認証プロバイダーのセキュリティ脆弱性により複数のユーザーアカウントが侵害されたことを認めました。

影響を受けたユーザーからは、無許可のログインや残高の引き出しが報告されており、2段階認証（2FA）(2FA)を有効にしていたにもかかわらず、個人デバイスの侵害の証拠は見られませんでした。これにより、XやRedditではMagic Labsという共通のウォレット接続サービスが関与している可能性について憶測が飛び交っています。Polymarketは具体的な提供者名を公表していませんが、この事件はWeb3プラットフォームにおけるサードパーティのリスクが依然として存在することを浮き彫りにしています。公式の損失額は明らかにされていませんが、個別の報告では不審なログイン試行後に資金が大きく引き出されたと述べられています。

Polymarketアカウントハッキングの詳細

ユーザーからの苦情は今週初めから浮上しています。

• 共通パターン：複数回のログイン失敗通知の後、成功してポジションを閉じたり資金を引き出したりするケース。
• セキュリティ対策は維持：被害者はクリーンなデバイスを使用し、フィッシングクリックはなく、リンクされたメールにはアクティブな2FAが設定されていると報告。
• 例の報告：Redditのあるユーザーは、3回のログイン試行の後に目覚め、すべてのPolymarketのポジションが閉じられ、残高がほぼゼロになっているのを発見したと述べています。
• コミュニティの憶測：多くの人がMagic Labs(magic.link)を脆弱なサードパーティとみなしており、その広範なウォレット接続の利用から関与が疑われています。

Polymarketの声明は、サードパーティの根本原因を認めつつも、範囲や対応の具体的なタイムラインについては限定的な情報しか提供していません。

• プラットフォームへの影響：非カストディアルの性質上、秘密鍵はユーザーが管理しているが、認証の欠陥によりセッションの乗っ取りが可能に。
• フィッシングの確認はなし：サプライチェーンやプロバイダー側の脆弱性による攻撃の可能性を示唆。
• 対応状況：認識はされており、調査が進行中。

サードパーティの脆弱性がDeFiユーザーにリスクをもたらす理由

分散型プラットフォームであっても、UX向上のために外部サービスに依存しています。

• ウォレット接続：Magic Labsのような提供者はサインインを簡素化しますが、単一障害点を生み出すリスクも伴います。
• セッション管理：認証トークンが侵害されると、適切に取り消されない場合、2FAをバイパスしてセッションを乗っ取られる可能性があります。
• サプライチェーン攻撃：Web3の依存関係が多層化する中、脅威は増大しています。

この事件は、Ledger Connectキットなどのサードパーティツールが強固なセキュリティを持っていても、ユーザーに影響を及ぼす過去の侵害例を反映しています。

Polymarketおよび予測市場ユーザーへの影響

高取引量のイベントベッティングで知られるPolymarketは、評判への圧力に直面しています。

• 信頼への影響：非カストディアル設計にもかかわらず、プラットフォームの安全性に疑問を持つユーザーが増加。
• 取引量の背景：最近の記録（例：選挙ベッティング）が問題の注目度を高めています。
• 対策の可能性：セッションの取り消しや再認証の強制、提供者の監査などが行われる見込み。
• より広い教訓：認証方法の多様化や接続アプリの監視が重要。

オンチェーンの攻撃の証拠はなく、損失はアカウントの乗っ取りに起因しています。

要約すると、Polymarketは2025年12月25日に、サードパーティの脆弱性を通じたユーザーアカウントのハッキングを認め、2FAを有効にしていたにもかかわらず資金が引き出された事例は、Web3におけるサプライチェーンリスクの持続性を示しています。Magic Labsに関する憶測や不正アクセスの報告を踏まえ、ユーザーには接続サービスの見直しと高度なセキュリティ設定の有効化を推奨します。今後の対応や影響を確認するため、Polymarketの公式チャネルを監視してください。