用戶報告與第三方認證相關的 Polymarket 資料外洩

多位用戶報告在 Polymarket 這個主要的預測平台上遭遇損失，原因似乎與最近一次與第三方認證提供者相關的安全漏洞有關。

Polymarket 用戶描述突然的帳戶被侵入和餘額被清空

本週早些時候，關於 Polymarket 帳戶被侵入的報告開始在 X 和 Reddit 上出現，受影響的用戶分享了突然損失的細節。一位用戶表示，醒來後看到帳戶有3次登入嘗試，儘管他堅稱自己的裝置沒有被入侵。

該用戶表示，Google 並未標記任何可疑活動，其他服務也看起來正常。然而，訪問平台後，他發現所有未平倉頭寸都已被關閉，餘額僅剩 $0.01，顯示錢包已被完全清空。

另一位 Reddit 用戶描述了類似的 Polymarket 帳戶被侵入事件，在資金消失前收到了三次登入通知。此外，他們聲稱自己沒有點擊任何連結，且在電子郵件上啟用了雙因素認證，這引發了對提供者層面可能繞過雙因素認證的擔憂。

聚焦於 Magic Labs 和電子郵件錢包存取

根據多位社交媒體用戶的報告，受影響的帳戶大多屬於通過 Magic Labs 註冊的用戶。該服務允許用戶用電子郵件地址登入，並在後端自動建立非托管的以太坊錢包。

Magic Labs 被廣泛用於缺乏數字資產錢包經驗的首次加密貨幣用戶。然而，這種以便利性為導向的電子郵件登入錢包模型，如果第三方基礎設施遭到破壞或配置錯誤，也可能擴大攻擊面。

一些社群成員在 X 和 Discord 上推測，漏洞可能與 Magic Labs 的認證問題直接相關。不過，目前這些說法尚未經過驗證，因為尚未發布任何技術性事後分析，也沒有提供商公開確認遭到入侵。

Polymarket 確認第三方安全問題

Polymarket 已承認，數個用戶帳戶因與外部服務相關的安全問題而遭受損失。該團隊在週二於官方 Discord 頻道上回應事件，確認一個第三方認證提供者是問題的核心。

“我們最近發現並解決了一個影響少數用戶的安全問題，”平台在 Discord 更新中寫道。此外，Polymarket 表示，問題源自“由第三方認證提供者引入的漏洞”，但未提供進一步的技術細節。

公司未披露受影響的用戶數量或被盜資產的總額。不過，它強調該漏洞已被修復，並聲稱目前用戶不存在持續的風險。團隊補充說，將與受影響的用戶聯繫，處理個案和可能的賠償事宜。

儘管用戶推測，Polymarket 迄今尚未公開確認涉及的具體提供商。The Block 已聯繫團隊尋求更多資訊，但在撰寫時尚未有進一步的公開聲明。

早期事件：錢包被清空與社交釣魚

最新的漏洞事件呼應了該預測平台之前的安全挑戰。2024 年 9 月，數位用戶通過 Google 帳戶登入時，報告突然出現 USDC 錢包被清空的情況，攻擊者利用“代理”功能調用將用戶資金轉移到釣魚地址。

當時，Polymarket 表示正在調查這些攻擊，認為可能是有針對性的利用，仍與第三方認證提供者有關，而非核心協議。早期的 USDC 錢包被清空事件，亦引發對外部登入工具在鏈上權限控制範圍的疑問。

另外，上個月，一場利用平台評論區的釣魚攻擊活動導致超過 50 萬美元的用戶損失。詐騙者貼出偽裝成官方頁面的欺詐連結，誘使用戶進行電子郵件登入，將界面變成釣魚留言區詐騙。

加密貨幣中第三方認證的持續審查

這一系列事件加劇了對加密行業中第三方認證解決方案的審查。將傳統電子郵件或社交登入與區塊鏈錢包連結的便利工具，現被視為潛在的單點故障。此外，當這些提供者遭到破壞時，攻擊者可能在不破壞鏈上智能合約的情況下獲得廣泛存取權。

目前，Polymarket 表示已解決當前問題，並將直接聯繫受影響的用戶。然而，對外部認證供應商的反覆依賴，可能會促使平台面臨越來越多的壓力，要求提供更清楚的透明度、更細緻的權限控制，以及對這些整合的更嚴格監控。

Polymarket 最近的事件凸顯了加密市場中用戶體驗與安全之間的緊張關係。

雖然第三方登入工具可以降低新手的門檻，但也帶來新的攻擊路徑，平台與用戶都需要更積極地理解與防範這些風險。