2025年12月24日 – Polymarket,一個去中心化的預測市場平台,確認第三方認證提供商的安全漏洞導致未經授權訪問及用戶賬戶資金轉移。該漏洞主要影響通過 Magic Labs 註冊的用戶,該服務為以太坊賬戶提供一鍵式以電郵為基礎的錢包創建。
多名用戶反映在其電郵帳戶已啟用雙因素認證的情況下,餘額突然被清空。對鏈上交易的分析顯示,攻擊者利用該認證漏洞繞過登錄控件,執行智慧合約調用,將以太幣和 ERC-20 代幣移動到攻擊者控制的地址。
Polymarket 的工程團隊在 Magic Labs 集成層中找到了根本原因,並於 12 月 23 日部署了修補程式。在官方 Discord 公告中,該公司表示漏洞已被控制,未發現其他事件。Polymarket 未披露受影響賬戶的總數或受損資產的規模,但強調核心交易協議和智慧合約仍然安全。
該平台計劃遷移至自有的以太坊二層網絡 POLY,並停止使用第三方登錄服務,以消除類似依賴。受影響的用戶將收到直接通知,說明恢復選項,儘管 Polymarket 尚未承諾就損失進行賠償。
業界專家將此事件視為有關外包關鍵認證機制風險的警示案例。隨著 Web3 項目越來越依賴外部 SDK 進行用戶註冊,嚴格的安全審核和回退控制對防止系統性漏洞至關重要。
– CryptoReporter.
評論 (0)