2025年12月24日 — Polymarket,一个去中心化的预测市场平台,确认第三方认证提供商存在安全漏洞,导致未授权访问和用户账户资金被转出。
尽管用户的电子邮件账户已启用两步验证,仍有多名用户报告余额突然被清空。对链上交易的分析显示,攻击者利用认证漏洞绕过登录控制,执行智能合约调用,将以太币(Ether)和 ERC-20 代币转移到攻击者控制的地址。
Polymarket 的工程团队在 Magic Labs 集成层中找到了根本原因,并于 12 月 23 日部署了补丁。在官方 Discord 公告中,公司表示漏洞已被遏制,未检测到进一步事件。Polymarket 未披露受影响账户的总数或被窃资产的规模,但强调核心交易协议和智能合约仍然安全。
该平台计划迁移到自有的以太坊二层网络 POLY,并淘汰第三方登录服务,以消除类似依赖。受影响的用户将直接收到通知,概述恢复选项,尽管 Polymarket 尚未承诺对损失进行赔偿。
业内专家将此事件视为关于外包关键认证机制风险的警示案例。随着 Web3 项目日益依赖外部 SDK 进行用户接入,严格的安全审计和回退控制对于防止系统性漏洞至关重要。
— CryptoReporter.
评论 (0)