Polymarket 確認用戶帳戶遭駭事件與第三方漏洞有關——儘管啟用了 2FA，資金仍被盜走

去中心化預測市場平台 Polymarket 在 2025 年 12 月 25 日承認，由於第三方認證提供者的安全漏洞，導致多個用戶帳戶遭到入侵。

受影響的用戶報告未經授權的登入和資金被提取——儘管已啟用 (2FA)，且沒有證據顯示個人裝置遭到入侵——引發了在 X 和 Reddit 上的猜測，認為此問題可能與 Magic Labs 有關，該公司提供一個常用的錢包連接服務。儘管 Polymarket 尚未點名該提供者，但此事件凸顯了 Web3 平台中持續存在的第三方風險，即使是非托管服務也不例外。官方尚未披露具體損失數字，但個別報告描述在可疑登入嘗試後，資金被大量提取。

Polymarket 帳戶被入侵的詳情

用戶在本週早些時候開始陸續發佈投訴：

• 常見模式：多次登入失敗通知，隨後成功登入並關閉持倉/提取資金。
• 安全措施完好：受害者報告其裝置乾淨，未點擊釣魚連結，且已啟用連結郵箱的 2FA。
• 範例報告：一位 Reddit 用戶描述醒來時收到三次登入嘗試，之後發現所有 Polymarket 持倉已被關閉，餘額接近零。
• 社群推測：許多人認為 Magic Labs (magic.link) 是可能的脆弱第三方，因為它被廣泛用於錢包連接。

Polymarket 的聲明確認了第三方是根本原因，但提供的細節有限，未說明範圍或修復時間表。

• 平台影響：由於是非托管性質，私鑰仍由用戶控制，但認證漏洞使得會話劫持成為可能。
• 未確認釣魚：暗示可能是供應鏈或提供者層級的攻擊。
• 回應狀況：已發佈聲明承認事件，調查仍在進行中。

為何第三方漏洞對 DeFi 用戶構成風險

即使是去中心化平台，也依賴外部服務來改善用戶體驗（UX）：

• 錢包連接：如 Magic Labs 這類提供者簡化登入流程，但也引入了單點故障。
• 會話管理：若認證令牌被入侵，未妥善撤銷可能繞過 2FA。
• 供應鏈攻擊：隨著 Web3 生態堆疊多層依賴，這類攻擊的威脅日益增加。

此事件呼應過去的漏洞，例如 Ledger Connect 套件等第三方工具，儘管用戶安全措施到位，仍可能暴露風險。

對 Polymarket 和預測市場用戶的影響

Polymarket 以高交易量的事件投注聞名，面臨聲譽壓力：

• 信任影響：用戶對平台安全性產生疑慮，儘管其為非托管設計。
• 交易量背景：近期如選舉投注等高流量事件，讓問題更為顯著。
• 應對措施：可能包括撤銷會話、強制重新認證，以及對提供者進行審計。
• 更廣泛的教訓：應多元化認證方式，並監控連結的應用程式。

目前尚未有鏈上攻擊的證據；損失主要與帳戶被接管有關。

總結來說，Polymarket 在 2025 年 12 月 25 日確認由第三方漏洞導致的用戶帳戶被入侵——儘管啟用了 2FA，資金仍被提取，凸顯了 Web3 頻繁存在的供應鏈風險。推測焦點集中在 Magic Labs，並有未經授權存取的報告，此事件提醒用戶檢查連結的服務並啟用更高級的安全選項。請密切關注 Polymarket 官方渠道的最新消息，以獲取受影響帳戶的後續處理和解決方案。