- Polymarket用戶帳戶被駭追溯至第三方認證服務,並非協議漏洞。
- 基於電子郵件的錢包註冊流程使帳戶資金被盜,並未涉及智能合約攻擊。
- 事件凸顯Web3系統性風險,第三方登入服務成為潛在失效點。
Polymarket表示,攻擊者利用第三方登入服務的漏洞,盜取了部分用戶帳戶資金。用戶反映在多次登入後,餘額突然消失且持倉被關閉。Polymarket於2025年12月24日確認此事件,並表示已修復該問題。
2025年12月22日與23日,X、Reddit及Discord等平台出現相關報告。一位Reddit用戶表示遭遇三次登入嘗試後,帳戶餘額僅剩$0.01。另一位用戶也反映類似情況,並稱電子郵件雙重驗證未能阻止資金被盜。
第三方認證使註冊流程成為共同弱點
Polymarket表示,第三方認證供應商引入了這一漏洞。該公司在官方Discord頻道發文稱已識別並解決問題。Polymarket表示,此事件僅影響少數用戶。
Polymarket並未透露第三方供應商名稱,也未披露被盜資金總額。然而,該平台強調其核心協議依然安全,問題僅限於認證層面。官方同時表示,修復措施已消除持續風險,並將聯繫受影響用戶。
這一表述將關注點從市場機制轉移到加密貨幣註冊基礎設施。許多平台為加快註冊流程,依賴外部身份、錢包及登入服務。因此,單一供應商的漏洞可能導致多個應用用戶受害。
電子郵件錢包登入增加嵌入式錢包存取風險
用戶貼文顯示,許多受影響帳戶採用基於電子郵件的“magic link”登入,而非直接錢包連接。多份報告指出Magic Labs是常見註冊途徑,儘管Polymarket尚未證實此關聯。用戶也表示,在資金被盜前並未點擊可疑連結。
基於電子郵件的錢包供應商通常在註冊時創建非託管Ethereum錢包。這種設計吸引不熟悉擴展或助記詞的新手加密貨幣用戶。然而,供應商仍掌控登入及恢復流程的關鍵部分。
Polymarket用戶反映,USDC餘額在未明確授權的情況下被盜。報告還描述,未經授權存取後持倉迅速被關閉。因此,該事件凸顯帳戶安全可能在智能合約層之上失效。
過往Polymarket事件顯示存取層壓力
此次資安事件呼應了2024年9月用戶針對Google登入方式的舊有報告。當時用戶描述攻擊者利用“proxy”函數調用,將USDC資金轉移至釣魚地址。
Polymarket當時將該事件視為與第三方認證相關的定向攻擊。這一歷史說明了相同的結構性風險:認證及會話系統可能成為高影響力攻擊目標。
2025年11月還出現另一威脅,詐騙者利用Polymarket評論區進行攻擊。用戶報告稱,攻擊者張貼偽裝連結,導致損失超過$500,000。這些連結將受害者引導至偽造頁面,竊取電子郵件登入資訊。
2025年12月的事件再次聚焦於整合風險,而非結算失敗。Polymarket尚未發布技術事後分析或完整事件時間線,也未說明是否會補償用戶損失。
同時,用戶在公開討論串比較登入方式並分享錢包地址。有些用戶為了更高餘額已轉向直接錢包連接。該事件強化了加密貨幣註冊的普遍結論:第三方身份與錢包服務現已成為關鍵路徑,也可能成為生態系統中最脆弱的一環。
