去中心化預測市場平台 Polymarket 於 12 月 25 日確認,因第三方身分認證服務供應商的安全漏洞,部分用戶資金遭竊,帳戶資產被清空。受影響用戶主要是透過 Magic Labs 註冊,這是一項允許用戶以電子郵件地址登入並自動建立非託管以太坊錢包的服務。
此漏洞繞過了雙因素認證等標準安全措施,引發市場對加密平台第三方整合安全性的廣泛關注。
01 事件概述:第三方漏洞暴露的資產風險
Polymarket 用戶遭遇的資產竊盜並非源自平台核心智能合約漏洞,而是因其依賴的第三方身分認證服務供應商所引入的安全漏洞所致。
該平台於官方 Discord 頻道表示:「我們近期發現並解決了一個影響少數用戶的安全問題,此問題由第三方身分認證供應商的漏洞所引發。」
儘管平台宣稱問題已獲修復且無持續風險,但具體受影響用戶數量及損失金額尚未公開,此資訊空白引發社群對事件真實規模及嚴重程度的廣泛憂慮。
02 攻擊過程:典型用戶受害案例還原
根據社群媒體上的用戶回報,此次安全事件呈現明顯的特徵模式。
一位 Reddit 用戶詳細描述自身經歷:「今天早上醒來,我收到 3 次嘗試登入 Polymarket 的通知——我的裝置並未遭入侵,Google 也未發現任何可疑活動,其他所有服務皆正常。」
然而當他登入 Polymarket 查看時,發現所有交易已被平倉,帳戶餘額僅剩 0.01 美元,意味錢包幾乎被完全清空。
另一位用戶也回報了類似經歷,即使未點擊任何可疑連結,且電子郵件已啟用雙重驗證,仍無法阻止攻擊者在收到三次登入嘗試通知後清空其帳戶資金。
03 受害群體:Magic Labs 註冊用戶成為主要目標
此次安全事件受害者有一共同特徵:他們多數透過 Magic Labs 服務註冊 Polymarket 帳戶。
Magic Labs 是專為加密貨幣新手設計的第三方登入服務,允許用戶僅以電子郵件地址登入,系統會於後台自動生成非託管以太坊錢包。此設計大幅降低加密世界的入門門檻,但也帶來新的攻擊面。
攻擊者似乎掌握了繞過多重驗證機制的方法,而非透過傳統釣魚或惡意軟體入侵用戶裝置。這引發對第三方身分認證服務作為單點故障可能性的嚴重關切。
04 平台回應:資訊模糊引發更多疑慮
Polymarket 在回應此事時展現出明顯的資訊保留傾向,這不僅未解答疑問,反而帶來更多問題。
首先,平台僅模糊表示「少數用戶」受影響,未提供具體數字或比例。其次,平台未公布被盜金額總計,令社群無法評估事件嚴重性。第三,Polymarket 未明確點名涉及的第三方服務供應商,儘管社群普遍猜測為 Magic Labs。
在技術細節方面,Polymarket宣稱問題「已解決」,但未說明具體修復措施。
有社群成員指出,事件發生後 Polymarket 似乎將一次性密碼長度由三位數提升至六位數,但公司並未就此公開回應。
05 安全啟示:第三方整合的系統性風險
這並非 Polymarket 首次因第三方服務而遭遇安全事件。早在 2024 年 9 月,多位透過 Google 帳戶登入的用戶即回報其 USDC 資金被轉移至釣魚地址。
上個月,一場利用平台評論區的網路釣魚活動造成用戶損失逾 500,000 美元。這些事件揭示加密平台面臨的普遍挑戰:即使核心智能合約安全無虞,所依賴的第三方服務仍可能成為安全短板。
業界分析指出,當用戶仰賴非由核心平台直接控管的統一身分認證基礎設施時,整合系統尤其容易遭受攻擊。
06 用戶應對:資產保護的實務建議
對加密貨幣用戶而言,Polymarket 事件提供了重要安全啟示。
最直接的建議是避免使用第三方登入選項,改以自行控管私鑰的錢包直接連接平台。雖然這提高了使用門檻,但在平台尚未證明能保障第三方整合安全前,這是確保資產安全的最佳做法。
用戶應定期檢查帳戶活動,啟用所有可用安全功能,並對任何異常登入嘗試保持警覺。分散資產存放,不將所有資金集中於單一平台,也是降低風險的合理策略。
考量到 Polymarket 計畫自 Polygon 遷移並推出自家以太坊 Layer 2 網路,用戶於平台過渡期間更應特別留意資產安全。
未來展望
截至 12 月 25 日,Polymarket 平台總交易額已達 15.38 億美元,月活躍用戶數達 419,309 人。當用戶清晨醒來發現帳戶僅剩 0.01 美元時,這起事件已不再是單純的技術故障,而是對整個加密貨幣生態系統安全架構的嚴峻考驗。
用戶資金安全始終是 Gate 平台營運的基石。面對加密產業日益複雜的安全挑戰,Gate 持續強化安全基礎設施,為用戶提供多重資產保護機制。
