Polymarket 确认第三方认证漏洞遭攻击 用户资金被盗引发风险审视

图：https://x.com/TheBlock__/status/2003739551865475076

Polymarket 确认遭遇第三方认证漏洞攻击，部分用户资金被盗

2025 年 12 月下旬，加密预测市场平台 Polymarket 正式确认其遭遇一起与第三方身份认证服务相关的安全事件，部分用户资产因此遭到盗取。平台强调，此次攻击并非源自 Polymarket 核心协议或智能合约漏洞，而是攻击者利用了其接入的第三方身份认证服务缺陷，从而获取了部分用户账户的控制权并转移资金。

事件背景与官方说明

根据 Polymarket 官方发布的说明，此次安全事件发生在用户登录环节，主要影响通过第三方身份认证服务（如一键邮箱登录等方式）注册或登录的账户。多名用户反馈称，即便已启用双重认证（2FA），其账户资金仍在极短时间内被清空。

Polymarket 随后确认相关漏洞已被修复，并表示当前未发现持续性攻击风险。平台指出，事件本身并未涉及其核心市场机制、智能合约或结算系统，而是源于外部身份验证流程的安全缺陷。

攻击方式与潜在漏洞机制

综合多方公开信息与行业分析，此次攻击并非传统意义上的钓鱼或用户主动泄露私钥行为。攻击者可能利用第三方认证流程中的安全缺陷，绕过正常的登录验证步骤，在用户未点击恶意链接、未泄露邮箱密码的情况下，直接取得与账户绑定的钱包控制权。

在获取控制权限后，攻击者迅速将资产转移至外部地址，并通过拆分转账、洗链等方式掩盖资金流向，导致实际资产损失。

虽然 Polymarket 尚未公开具体的技术漏洞细节及第三方服务提供商名称，但业内普遍认为，这类认证方案本质上将密钥管理或账户授权部分外包给第三方，一旦该环节出现缺陷，便可能成为系统性攻击入口。

用户反馈与社区反应

事件曝光后，多个社区平台与社交媒体出现用户现身说法。一名用户表示，在收到异常登录尝试提醒后再次登录 Polymarket，发现账户余额几乎清零。另一位用户则指出，自己并未进行任何高风险操作，仅使用邮箱登录并开启 2FA，但资产仍在短时间内被完全转走。

这些案例迅速引发社区讨论，不少用户开始重新审视 Web3 平台中“便捷登录”与“资产安全”之间的取舍问题。部分观点认为，此次事件暴露了去中心化应用在用户体验优化过程中，可能无意中放大了安全边界的脆弱性。

Polymarket 的应对措施与当前状态

在确认安全事件后，Polymarket 表示已第一时间修复相关漏洞，并主动与受影响用户取得联系。平台强调，目前未观察到新的异常活动，系统运行处于安全状态。

同时，官方明确指出，其核心智能合约与市场运行逻辑并未受到影响。这也意味着，使用自托管钱包或未依赖第三方认证服务登录的用户，并未暴露于此次攻击路径之下。

截至目前，Polymarket 尚未披露受影响用户的具体数量及总体资金损失规模。

行业视角：第三方认证为何成为高风险点

从更广泛的行业角度看，此次事件再次凸显了 Web3 平台对第三方身份认证服务的结构性风险。便捷的邮箱登录、社交账号授权等方案虽然降低了用户进入门槛，但也引入了新的攻击面。

在 Web2 环境中，OAuth 与社交登录体系早已被证明存在安全挑战；而在 Web3 场景下，这类认证流程往往直接与钱包生成、密钥管理或交易授权挂钩，一旦出现漏洞，后果将直接体现在用户资产层面，而非仅限于账号数据泄露。

安全启示与用户防护建议

Polymarket 事件为加密资产用户提供了多项值得警惕的安全启示：

• 谨慎使用第三方认证服务，优先选择自托管钱包与独立密钥管理方案；

• 构建多层防护体系，例如硬件钱包、独立身份验证器等；

• 对于不频繁使用的平台，及时将资产转回个人控制地址；

• 持续关注项目官方公告、安全通告及社区反馈，第一时间应对潜在风险。

总结

总体而言，此次 Polymarket 安全事件并未动摇其核心协议安全性，但却清晰暴露了第三方身份认证在 Web3 生态中的潜在系统性风险。在加密行业持续追求用户增长与体验优化的同时，如何在“易用性”与“资产安全”之间取得平衡，仍将是所有平台无法回避的长期课题。