Polymarket 安全事件警示：第三方認證漏洞如何清空用戶錢包

去中心化預測市場平台 Polymarket 在 12 月 25 日確認，由於第三方身份驗證服務提供商的安全漏洞，部分用戶資金被盜，帳戶資金被清空。受影響的用戶主要通過 Magic Labs 註冊，這是一種允許用戶使用電子郵件地址登入並自動建立非托管以太坊錢包的服務。

這個漏洞繞過了雙因素認證等標準安全措施，引發了市場對加密平台第三方整合安全性的廣泛關注。

01 事件概述：第三方漏洞暴露的資產風險

Polymarket 用戶遭遇的資產盜竊並非源自平台核心智能合約漏洞，而是由其依賴的第三方身份驗證服務提供商引入的安全漏洞導致。

該平台在官方 Discord 頻道中表示：“我們最近發現並解決了一個影響少數用戶的安全問題，這個問題是由第三方身份驗證提供商引入的漏洞引起的。”

儘管平台聲稱問題已經修復且不存在持續風險，但具體受影響的用戶數量和損失金額仍未披露，這一資訊空白引發了社群對事件真實規模和嚴重程度的廣泛擔憂。

02 攻擊過程：典型用戶受害案例還原

根據社交媒體上的用戶報告，這次安全事件呈現出明顯的特徵模式。

一位 Reddit 用戶詳細描述了自己的經歷：“今天早上醒來，我發現了 3 次嘗試登入 Polymarket 的通知——我的設備沒有被入侵，Google 也沒有發現任何可疑活動，其他所有服務都正常。”

然而當他登入 Polymarket 查看時，發現所有交易都已被平倉，帳戶餘額僅剩下 0.01 美元，這意味著錢包幾乎被完全清空。

另一位用戶報告了相似的經歷，儘管沒有點擊任何可疑連結，並在電子郵件上啟用了雙重驗證，仍無法阻止攻擊者在收到三次登入嘗試通知後清空其帳戶資金。

03 受害群體：Magic Labs 註冊用戶成為主要目標

這次安全事件的受害者有一個共同點：他們大多通過 Magic Labs 服務註冊 Polymarket 帳戶。

Magic Labs 是一個為加密貨幣新手設計的第三方登入服務，允許用戶僅使用電子郵件地址登入，系統會自動在後台生成非托管以太坊錢包。 這種設計極大降低了加密世界的入門門檻，但也引入了新的攻擊面。

攻擊者似乎掌握了繞過多重驗證機制的方法，而非透過傳統釣魚或惡意軟體入侵用戶設備。 這引發了對第三方身份驗證服務作為單點故障可能性的嚴重關切。

04 平台回應：資訊模糊引發更多疑慮

Polymarket 在回應此事時展現出明顯的資訊保留傾向，這引發了更多問題而非解答。

首先，平台僅模糊地稱“少數用戶”受影響，未提供具體數字或占比。 其次，平台未公布被盜金額總計，使社群無法評估事件嚴重性。 第三，Polymarket 未明確點名涉及的第三方服務提供商，儘管社群普遍猜測是 Magic Labs。

在技術細節方面，Polymarket 聲稱問題“已解決”，但並未解釋具體採取了哪些修復措施。

有社群成員指出，事件發生後 Polymarket 似乎將其一次性密碼長度從三位數增加到六位數，但該公司未就此公開置評。

05 安全啟示：第三方整合的系統性風險

這並非 Polymarket 首次因第三方服務而遭遇安全事件。早在 2024 年 9 月，多位透過 Google 帳戶登入的用戶就報告稱他們的 USDC 資金被轉移到釣魚地址。

上個月，一場利用平台評論區的網路釣魚活動導致用戶損失超過 50 萬美元。 這些事件揭示了加密平台面臨的一個普遍挑戰：即使核心智能合約安全無虞，依賴的第三方服務也可能成為安全短板。

產業分析指出，當用戶依賴於並非由核心平台直接控制的統一身份驗證基礎設施時，整合系統尤其容易受到攻擊。

06 用戶應對：資產保護的實踐建議

對於加密貨幣用戶而言，Polymarket 事件提供了重要的安全啟示。

最直接的建議是避免使用第三方登入選項，改用自己控制私鑰的錢包直接連結平台。 雖然這增加了使用門檻，但在平台證明其能夠保護第三方整合安全之前，這是確保資產安全的最佳方式。

用戶應定期檢查帳戶活動，啟用所有可用的安全功能，並對任何異常登入嘗試保持警覺。 分散資產存放，不將所有資金集中在單一平台，也是降低風險的合理策略。

考慮到 Polymarket 計畫從 Polygon 遷移並推出自己的以太坊 Layer 2 網路，用戶在平台過渡期間應特別關注資產安全。

未來展望

截至 12 月 25 日，Polymarket 平台的總交易額已達 15.38 億美元，月度活躍用戶達到 419,309 人。 當用戶早晨醒來發現帳戶只剩下 0.01 美元時，這一事件已不再是單純的技術故障，而是對整個加密貨幣生態系統安全架構的嚴峻拷問。

用戶資金安全始終是 Gate 平台運營的基石。在加密行業面臨複雜安全挑戰的當下，Gate 持續加強安全基礎設施，為用戶提供多重資產保護機制。