Polymarket 確認第三方驗證機制出現漏洞並遭受攻擊，用戶資金被竊事件引發風險重新評估

圖：https://x.com/TheBlock__/status/2003739551865475076

Polymarket 確認遭第三方認證漏洞攻擊，部分用戶資產遭竊

2025年12月下旬，加密預測市場平台 Polymarket 正式證實遭遇與第三方身份認證服務相關的安全事件，導致部分用戶資產被盜。平台強調，此次攻擊並非源於 Polymarket 核心協議或智慧合約漏洞，而是攻擊者利用其所串接的第三方身份認證服務缺陷，取得部分用戶帳戶控制權並轉移資金。

事件背景與官方說明

根據 Polymarket 官方說明，此次安全事件發生於用戶登入階段，主要影響透過第三方身份認證服務（如一鍵信箱登入等方式）註冊或登入之帳戶。多位用戶反映，即使已啟用雙重認證（2FA），帳戶資金仍於極短時間內被清空。

Polymarket 隨後確認相關漏洞已完成修復，並表示目前未發現持續性攻擊風險。平台指出，事件本身未波及其核心市場機制、智慧合約或結算系統，問題源於外部身份驗證流程的安全缺陷。

攻擊手法與潛在漏洞機制

綜合公開資訊及產業分析，此次攻擊並非傳統釣魚或用戶主動洩露私鑰。攻擊者可能利用第三方認證流程中的安全漏洞，繞過正常登入驗證，在用戶未點擊惡意連結、未洩露信箱密碼的情況下，直接取得帳戶綁定錢包的控制權。

取得控制權限後，攻擊者迅速將資產轉往外部地址，並透過拆分轉帳、洗鏈等方式隱匿資金流向，造成實際損失。

雖然 Polymarket 尚未公開技術漏洞細節及第三方服務商名稱，產業普遍認為，這類認證方案本質上將密鑰管理或帳戶授權外包給第三方，一旦該環節出現缺陷，極易成為系統性攻擊入口。

用戶回饋與社群反應

事件曝光後，多個社群平台與社交媒體湧現用戶現身說法。有用戶表示，在收到異常登入提醒後再次登入 Polymarket，發現帳戶餘額幾乎全數消失。另有用戶指出，自己未進行任何高風險操作，僅以信箱登入並啟用 2FA，資產仍於短時間內被完全轉走。

這些案例迅速引發社群討論，不少用戶開始重新審視 Web3 平台「便捷登入」與「資產安全」間的取捨。部分觀點認為，此事件凸顯去中心化應用於優化用戶體驗時，無意間放大了安全邊界的脆弱性。

Polymarket 應對措施及現況

確認安全事件後，Polymarket 表示已於第一時間修復相關漏洞，並主動聯繫受影響用戶。平台強調，目前未觀察到新異常活動，系統運作維持安全。

同時，官方明確指出，其核心智慧合約與市場運作邏輯未受影響。這代表，使用自我託管錢包或未依賴第三方認證登入的用戶，並未暴露於此次攻擊路徑。

截至目前，Polymarket 尚未公布受影響用戶數量及總體資金損失規模。

產業觀點：第三方認證為何成高風險點

從更廣泛產業視角來看，此事件再次突顯 Web3 平台對第三方身份認證服務的結構性風險。便捷的信箱登入、社交帳號授權雖降低用戶進入門檻，卻也帶來新的攻擊面。

在 Web2 環境下，OAuth 與社交登入體系早已證明存在安全挑戰；而於 Web3 場域，這類認證流程往往直接連結錢包生成、密鑰管理或交易授權，一旦出現漏洞，將直接衝擊用戶資產，而不僅止於帳號資料外洩。

安全啟示與用戶防護建議

Polymarket 事件為加密資產用戶帶來多項必須警惕的安全啟示：

• 謹慎使用第三方認證服務，優先選擇自我託管錢包及獨立密鑰管理方案；
• 建立多層防護機制，例如硬體錢包、獨立身份驗證器等；
• 對於不常用的平台，應即時將資產轉回個人控制地址；
• 持續關注官方公告、安全通告及社群回饋，及時因應潛在風險。

總結

整體來看，本次 Polymarket 安全事件雖未動搖其核心協議安全性，卻清楚揭示第三方身份認證於 Web3 生態中的潛在系統性風險。在加密產業持續追求用戶成長與體驗優化之際，如何於「易用性」與「資產安全」間取得平衡，仍是所有平台無法迴避的長期課題。