用戶資產遭清空，Polymarket證實第三方驗證出包成駭客攻擊目標

Polymarket 證實第三方驗證服務出現漏洞，導致即便啟用 2FA 的用戶仍遭清空資產，平台已完成修補並承諾聯繫受害者。

針對近期有用戶遭駭客盜領資產的情形，去中心化預測市場平台 Polymarket 周二證實，入侵事件是因第三方身份驗證服務商存在安全漏洞所致。

未點擊釣魚連結、啟用雙重驗證　帳號卻遭清空

這起資安事件從本週初開始發酵，不少用戶在 Reddit 和 X 上發出求救貼文，詳細描述了帳戶資產不翼而飛的慘劇，其中一位用戶在 Reddit 討論區指出：

今天早上我一睜開眼，就看到手機顯示有 3 次嘗試登入 Polymarket 的通知。我的裝置沒有被盜、 Google 帳號也沒異常，但當我趕快登入 Polymarket 查看時，發現所有交易都被平倉，帳戶餘額只剩下 0.01 美元。

留言板中另一位苦主也遭遇了相同模式的攻擊：在收到 3 次登入警報後，帳戶資金隨即被洗劫一空。令人不安的是，這位用戶強調自己從未點擊任何釣魚連結，甚至連電子郵件也啟用了「雙重驗證（2FA）」，卻依然擋不住駭客的毒手。

根據社群媒體上的受害者資料彙整，這次攻擊似乎集中鎖定透過 Magic Labs 註冊 Polymarket 的用戶。

Magic Labs 是專為加密貨幣「新手」設計的第三方登入與錢包服務。用戶不需要具備複雜的私鑰管理知識，使用電子郵件即可快速註冊開戶，系統會自動在後台生成一個「非託管式以太坊錢包」。

儘管 Magic Labs 讓進入幣圈的門檻變低了，但這次攻擊顯示，標榜便利的第三方驗證服務，一旦出現資安漏洞，反而可能成為駭客入侵的捷徑。

沉默數日後，Polymarket 周二終於在官方 Discord 頻道中回應此事：

我們最近發現並解決了一個影響少部分用戶的安全問題，這起事故是因第三方身分驗證服務商的漏洞所致。

不過，Polymarket 並未說明具體受影響人數，也未揭露遭竊資金總額，同時也未點名涉事的第三方服務商。平台僅強調，相關漏洞已完成修補，目前未觀察到任何持續性風險。

Polymarket 補充，將主動聯繫所有受影響用戶，至於是否會全額賠償用戶損失，則有待進一步說明。

• 本文經授權轉載自：《區塊客》
• 原文標題：《醒來驚見帳戶剩 0.01 美元！Polymarket 證實部分用戶被盜、第三方漏洞所致》
• 原文作者：區塊妹 MEL