Polymarket третя сторона вразила вразливість! Користувачі Magic Labs втратили доступ до своїх рахунків

2025-12-25 01:33:39

去中心化預測市場平台 Polymarket 本週證實，近期一起涉及第三方身分驗證提供者的安全漏洞影響多名 користувачів。根據社群媒體報告，透過 Magic Labs 註冊的用戶成為主要受害者，多人醒來發現帳戶資金被清空。Polymarket 在官方 Discord 承認問題源於第三方身份驗證提供者引入的漏洞。

用戶驚醒發現帳戶歸零災情擴散

（來源：Relay）

本週早些時候，X 和 Reddit 上開始出現 Polymarket 帳戶被盜的報道，受影響用戶紛紛在社交媒體詳細描述損失經過。一位 Reddit 用戶寫道：「今天早上醒來，我發現 Polymarket 有 3 次登入嘗試，我的裝置沒有被入侵，Google 也沒有發現任何可疑之處，其他服務也都正常。於是我打開 Polymarket，發現我所有的交易都結束了，餘額只剩下 0.01 美元。」

評論區另一位用戶聲稱遭遇了相似攻擊，儘管沒有點擊任何鏈接且電子郵件啟用了雙重身份驗證，但在 Polymarket 帳戶資金被盜之前，仍收到三次登錄嘗試通知。這種即使採取安全措施仍無法倖免的情況，引發社群對平台安全架構的嚴重質疑。

根據社群媒體上的用戶報告，問題似乎集中在透過 Magic Labs 註冊的 Polymarket 用戶身上。Magic Labs 是一個允許用戶透過電子郵件地址登入並建立非託管以太坊錢包的服務，這種便利性使其成為許多沒有數位資產錢包的加密貨幣新手的首選註冊方式。然而，這次事件暴露了依賴第三方身份驗證服務的潛在風險。

受害者的共同特徵是：都使用 Magic Labs 註冊、都啟用了雙重驗證、攻擊發生前都收到多次登入嘗試通知。這種模式顯示攻擊者可能掌握了繞過 Magic Labs 驗證機制的方法，而非透過釣魚或惡意軟體直接入侵用戶設備。

Polymarket 官方回應引發更多疑問

週二，Polymarket 在其官方 Discord 頻道承認了這個安全問題。平台聲明：「我們最近發現並解決了一個影響少數用戶的安全問題。該問題是由第三方身份驗證提供者引入的漏洞引起的。」Polymarket 表示已解決該問題，不存在任何持續風險，並將聯繫受影響用戶。

然而，Polymarket 的回應引發了更多疑問而非解答。首先，平台未透露受影響用戶的具體數量。「少數用戶」是多少？10 人還是 100 人？這種模糊表述讓社群無法評估事件的真實規模。其次，平台未公布被盜金額總計，使得用戶無法判斷損失的嚴重性。第三，Polymarket 未明確指出涉及的第三方服務提供者，雖然社群普遍猜測是 Magic Labs，但缺乏官方確認。

官方聲明三大關鍵遺漏

受害者規模不明：僅稱「少數用戶」受影響，未提供具體數字 або частки

損失金額未披露：社群無法評估事件嚴重程度 і потенційної відповідальності за компенсацію

第三方供應商身份模糊：未明確指出 Magic Labs 是否為漏洞來源，推卸責任意圖明顯

更令人不安的是，Polymarket 聲稱問題「已解決」，但並未解釋具體採取了哪些修復措施。是 Magic Labs 修補了漏洞？還是 Polymarket 改變了整合方式？或者僅是暫時停用該登入選項？這些關鍵細節的缺失，使得用戶無法判斷繼續使用平台是否安全。

The Block 已聯繫 Polymarket 以了解更多情況，但截至發稿時尚未收到回應。這種溝通不透明的態度，與去中心化平台強調的透明價值形成鮮明對比。

半年兩度淪陷第三方成最大破口

此次最新安全漏洞與 Polymarket 先前通報的安全事件如出一轍，凸顯該平台在第三方整合安全方面的系統性缺陷。2024 年 9 月，多位透過 Google 帳號登入的用戶報告稱，他們的錢包遭到盜刷。攻擊者利用「代理」函數調用，將用戶的 USDC 資金轉移到釣魚地址。當時，Polymarket 對這些事件進行了調查，認為這可能是與第三方身分驗證提供者相關的定向攻擊。

上個月，一場利用該平台評論區的網路釣魚活動導致用戶損失超過 500,000 美元。詐騙分子在評論區發布偽裝成官方的連結，指向詐騙網站誘騙用戶輸入電子郵件地址登入。雖然這次是社交工程攻擊而非技術漏洞，但仍暴露 Polymarket 在安全防護方面的多重弱點。

這種反覆出現的安全問題引發了對 Polymarket 安全架構的根本性質疑。為何第三方驗證服務一再成為攻擊入口？平台在整合這些服務時是否進行了充分的安全審查？當發現漏洞後，採取了哪些措施防止類似事件再次發生？這些問題至今沒有得到令人滿意的答案。

去中心化預測市場的核心價值之一是「非託管」，用戶理論上完全掌控自己的資產。然而，當平台依賴第三方身份驗證服務時，這種去中心化就打了折扣。Magic Labs 雖然提供「非託管錢包」，但其身份驗證層面的安全漏洞，仍可能讓攻擊者獲得帳戶控制權。這揭示了便利性與安全性之間的永恆張力，對於追求用戶友好體驗的 Web3 平台而言，這是一個必須面對的艱難抉擇。

對於 Polymarket 用戶，當前最安全的做法是避免使用第三方登入選項，改用自己控制私鑰的錢包直接連接平台。雖然這增加了使用門檻，但在平台證明其能夠保護第三方整合的安全之前，這是唯一能確保資產安全的方法。

ETH0.2%

Переглянути оригінал

Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.