用户报告与第三方认证相关的Polymarket安全漏洞

多位用户报告在Polymarket（一个主要的预测平台）遭遇损失，原因似乎与最近一次第三方认证提供商相关的安全漏洞有关。

Polymarket用户描述账户突然被入侵和余额被清空

本周早些时候，关于Polymarket账户被入侵的报道开始在X和Reddit上出现，受影响的用户分享了突然损失的细节。一位用户写道，醒来后发现他们的账户有3次登录尝试，尽管坚持自己的设备未被攻破。

该用户表示，Google没有标记任何可疑内容，其他所有服务看起来都正常。然而，访问平台后，他们发现所有未平仓位已被关闭，余额降至仅0.01美元，显示钱包已被完全清空。

另一位Reddit评论者描述了类似的Polymarket账户被入侵，收到三次登录通知后资金从账户中消失。此外，他们声称自己没有点击任何链接，并在邮箱启用了双因素认证，这引发了对提供商层面可能绕过双因素认证的担忧。

关注Magic Labs和基于邮箱的钱包访问

根据多位社交媒体用户的报告，受影响的账户主要属于通过Magic Labs注册的客户。该服务允许用户使用电子邮件地址登录，并在后台自动创建非托管的以太坊钱包。

Magic Labs被广泛用于首次接触加密货币的用户，他们缺乏数字资产钱包的经验。然而，这种以便利为导向的邮箱登录钱包模型，如果第三方基础设施被攻破或配置错误，也可能扩大攻击面。

一些X和Discord社区成员推测，此次漏洞与Magic Labs的认证问题直接相关。话虽如此，目前这些说法尚未得到验证，因为尚未发布任何技术性事后分析，也没有提供商公开确认发生了安全漏洞。

Polymarket确认第三方安全问题

Polymarket已确认，部分用户账户因与外部服务相关的安全问题而遭受损失。周二，团队在其官方Discord频道回应了此次事件，确认第三方认证提供商是问题的核心。

“我们最近发现并解决了影响少数用户的安全问题，”平台在Discord更新中写道。此外，Polymarket表示，问题源于“由第三方认证提供商引入的漏洞”，但未提供更多技术细节。

公司未披露受影响的用户数量或被盗的总价值，但强调漏洞已被修复，并声称目前没有持续的风险。团队补充说，将与受影响的用户联系，处理个案和潜在的赔偿事宜。

尽管用户猜测不断，Polymarket迄今未披露涉及此次漏洞的具体提供商。The Block已联系团队寻求更多信息，但在撰写本文时尚未收到进一步的公开声明。

早期事件：钱包被清空和社交钓鱼

此次最新的漏洞事件呼应了此前预测平台面临的安全挑战。2024年9月，有多位通过Google账户登录的用户报告突然出现USDC钱包被清空的情况，攻击者利用“代理”功能调用将用户资金转移到钓鱼地址。

当时，Polymarket表示正在调查这些攻击，认为可能是针对性利用，仍然与第三方认证提供商有关，而非核心协议。此前的USDC钱包被清空事件引发了关于外部登录工具在链上权限控制方面的疑问。

另外，上月利用平台评论区的钓鱼活动导致用户损失超过50万美元。骗子发布伪装成官方页面的欺诈链接，诱导用户进行邮箱登录，将界面变成钓鱼评论区骗局。

对加密领域第三方认证的持续关注

这一系列事件加剧了对加密行业中第三方认证解决方案的审查。连接传统邮箱或社交登录与区块链钱包的便利工具，现在被视为潜在的单点故障。此外，一旦这些提供商被攻破，攻击者可能无需入侵链上智能合约即可获得广泛访问权限。

目前，Polymarket表示已解决了紧急问题，并将直接联系受影响的用户。然而，频繁依赖外部认证供应商意味着平台可能面临越来越大的压力，要求提供更清晰的透明度、更细粒度的权限控制以及对这些集成的更强监控。

Polymarket近期的事件凸显了加密市场中可用性与安全性之间的矛盾。

虽然第三方登录工具可以降低新手的门槛，但它们也引入了新的攻击路径，平台和用户都需要更主动地理解和应对这些风险。