Polymarket 第三者の脆弱性が明らかに！Magic Labs ユーザーのアカウントが空にされる

去中心化預測市場プラットフォーム Polymarketは今週、最近の第三者身分認証提供者に関わるセキュリティ脆弱性が複数のユーザーに影響を与えたことを確認しました。コミュニティのSNS報告によると、Magic Labsを通じて登録したユーザーが主な被害者となり、多数が目覚めるとアカウント資金が空になっていることに気付いたとのことです。Polymarketは公式Discordで、この問題の原因は第三者身分認証提供者による脆弱性に起因すると認めました。

ユーザー驚愕、アカウント残高ゼロの惨事拡散

（出典：Relay）

今週初め、XやReddit上でPolymarketアカウントの不正アクセスに関する報告が相次ぎ、被害者はソーシャルメディア上で詳細な損失経過を共有しました。あるRedditユーザーは次のように書いています：「今朝起きたら、Polymarketに3回のログイン試行があった。私の端末は侵害されておらず、Googleも怪しい動きを検知していない。ほかのサービスも正常だ。そこでPolymarketを開いたら、すべての取引が終了しており、残高は0.01ドルだけだった。」

コメント欄の別のユーザーは、リンクをクリックしていなくても、メールの二段階認証を有効にしていても、Polymarketアカウントの資金が盗まれる前に3回のログイン試行通知を受け取ったと主張しています。このように、安全策を講じても免れられない状況は、コミュニティにプラットフォームのセキュリティ構造に対する深刻な疑問を投げかけています。

SNS上のユーザーレポートによると、問題はMagic Labsを通じて登録したPolymarketユーザーに集中しているようです。Magic Labsは、メールアドレスでログインし、非管理型のイーサリアムウォレットを作成できるサービスであり、その便利さから、多くの暗号資産初心者の登録手段として選ばれています。しかし、今回の事件は、第三者認証サービスに依存するリスクの潜在性を露呈しました。

被害者の共通点は、Magic Labsで登録、二段階認証を有効化、攻撃前に複数回のログイン試行通知を受け取っていることです。このパターンは、攻撃者がMagic Labsの認証メカニズムを回避する方法を掌握している可能性を示唆しており、フィッシングやマルウェアによる直接的な端末侵入ではなく、認証システムの脆弱性を突いた攻撃と考えられます。

Polymarket公式の対応にさらなる疑問

火曜日、Polymarketは公式Discordチャンネルでこのセキュリティ問題を認めました。プラットフォームは次のように声明を出しています：「最近、少数のユーザーに影響を与えるセキュリティ問題を発見し、解決しました。この問題は第三者身分認証提供者による脆弱性に起因します。」Polymarketはすでにこの問題を解決し、継続的なリスクは存在しないとし、影響を受けたユーザーに連絡すると述べています。

しかしながら、Polymarketの対応は、さらなる疑問を呼び起こすものであり、解答にはなっていません。まず、影響を受けたユーザーの具体的な数は明らかにされていません。「少数のユーザー」とは何人か？10人なのか100人なのか？この曖昧な表現は、事象の規模を正確に評価させません。次に、盗まれた金額の総計も公表されておらず、ユーザーは損失の深刻さを判断できません。第三に、Polymarketは関与した第三者サービス提供者を明示しておらず、コミュニティはMagic Labsと推測していますが、公式の確認はありません。

公式声明の三大重要な欠落点

被害者規模不明： 「少数のユーザー」だけにとどまり、具体的な数字や割合は示されていない

損失金額未公表：コミュニティは事象の深刻さや潜在的な賠償責任を評価できない

第三者提供者の身元不明確：Magic Labsが脆弱性の原因かどうかを明示せず、責任回避の意図が見える

さらに不安を掻き立てるのは、Polymarketが「問題は解決済み」と主張しながらも、具体的にどのような修正措置を取ったのかを説明していない点です。Magic Labsが脆弱性を修正したのか？それともPolymarketが統合方法を変更したのか？あるいは一時的にそのログインオプションを停止したのか？これらの重要な詳細の欠如は、ユーザーがプラットフォームの安全性を判断できなくしています。

The Blockは、Polymarketに詳細を問い合わせましたが、執筆時点では回答を得ていません。このような情報の不透明さは、分散型プラットフォームが掲げる透明性の価値と対照的です。

半年で二度の第三者脆弱性、最大の突破口に

今回の最新のセキュリティ脆弱性は、Polymarketが以前に報告したセキュリティ事件と類似しており、同プラットフォームの第三者統合の安全性における体系的な欠陥を浮き彫りにしています。2024年9月、多くのGoogleアカウントでログインしたユーザーが資金の不正送金被害を報告しました。攻撃者は「代理」関数呼び出しを利用し、ユーザーのUSDC資金をフィッシングアドレスに移動させました。当時、Polymarketはこれらの事件を調査し、第三者身分認証提供者に関連した標的型攻撃の可能性を示唆しました。

先月には、同プラットフォームのコメント欄を利用したフィッシング詐欺により、ユーザーは50万ドル超の損失を被っています。詐欺師はコメント欄に公式を装ったリンクを掲載し、詐欺サイトへ誘導してユーザーにメールアドレスを入力させる手口です。今回はソーシャルエンジニアリングによる攻撃ですが、Polymarketのセキュリティ防御の多重脆弱性を露呈しています。

この繰り返されるセキュリティ問題は、Polymarketの安全構造に根本的な疑問を投げかけています。なぜ第三者認証サービスが攻撃の入り口となり続けるのか？プラットフォームはこれらのサービスを統合する際に十分なセキュリティ審査を行ったのか？脆弱性が判明した後、どのような対策を講じて再発防止に努めているのか？これらの問いには、いまのところ満足のいく回答は得られていません。

分散型予測市場の核心的価値の一つは「非託管」であり、ユーザーは理論上、自分の資産を完全に管理しています。しかし、プラットフォームが第三者身分認証サービスに依存すると、その分散性は損なわれます。Magic Labsは「非託管ウォレット」を提供していますが、その認証層のセキュリティ脆弱性は、攻撃者にアカウント制御権を与える可能性があります。これは、利便性と安全性の永遠のジレンマを示しており、ユーザーフレンドリーなWeb3プラットフォームを追求する上で避けて通れない難題です。

Polymarketのユーザーにとって、現時点で最も安全な方法は、第三者ログインを避け、自分の秘密鍵で管理するウォレットを直接接続することです。これにより利用のハードルは上がりますが、プラットフォームが第三者統合の安全性を証明するまでは、資産を守る唯一の方法です。