2025年12月24日—分散型予測市場プラットフォームのPolymarketは、第三者の認証提供者におけるセキュリティの脆弱性により、ユーザーアカウントへの不正アクセスと資金移転が発生したことを確認した。侵害は主に、Ethereumアカウントのワンクリックメールベースのウォレット作成を提供するMagic Labsを通じて登録したユーザーに影響した。
複数のユーザーが、メールアカウントで二要素認証を有効にしていたにもかかわらず、突然の残高流出を報告した。オンチェーン取引の分析により、攻撃者が認証の欠陥を利用してログイン制御を回避し、EtherおよびERC-20トークンを攻撃者が管理するアドレスへ移動させるスマートコントラクト呼び出しを実行したことが明らかになった。
PolymarketのエンジニアリングチームはMagic Labsの統合レイヤーに根本原因を特定し、12月23日にパッチを適用した。公式Discordの告知では、脆弱性は封じ込められ、これ以上のインシデントは検出されていないと述べられた。Polymarketは影響を受けたアカウントの総数や被害額を公表しなかったが、コア取引プロトコルとスマートコントラクトは引き続き安全であると強調した。
同プラットフォームは自社のEthereumレイヤー2ネットワークPOLYへ移行し、同様の依存を排除するため第三者のログインサービスを廃止する予定だ。影響を受けたユーザーには回復オプションを詳述した直接通知が送られる予定だが、損失の補償を約束するまでには至っていない。
業界の専門家はこの事案を、重要な認証機構を外部に委託するリスクに対する教訓として位置づけている。Web3プロジェクトがユーザーのオンボーディングに外部SDKへますます依存する中、厳格なセキュリティ監査とフォールバック制御は、システム全体の脆弱性を防ぐために不可欠である。
– CryptoReporter。
コメント (0)