2025年12月24日——去中心化预测市场平台Polymarket证实,第三方身份认证提供商的安全漏洞导致未经授权的访问和用户账户资金转移。这次漏洞主要影响通过Magic Labs注册的用户,Magic Labs提供基于电子邮件的一键钱包创建以太坊账户的服务。
多名用户在其电子邮件账户启用两步验证后仍报告余额突然被清空。对链上交易的分析显示,攻击者利用身份认证漏洞绕过登录控制,执行对智能合约的调用,将以太币和ERC-20代币转移到攻击者控制的地址。
Polymarket的工程团队在Magic Labs的集成层中识别出根本原因,并于12月23日部署了修补程序。在官方Discord公告中,该公司表示漏洞已被遏制,未发现其他事件。Polymarket未披露受影响账户的总数或被侵占资产的数量,但强调核心交易协议和智能合约仍然安全。
该平台计划迁移到自己的以太坊第二层网络POLY,并停用第三方登录服务以消除类似依赖。受影响的用户将收到直接通知,说明恢复选项,尽管Polymarket未承诺对损失进行赔偿。
业内专家将此次事件视为关于外包关键认证机制风险的警示。随着Web3项目日益依赖外部SDK进行用户上线,严格的安全审计和回退控制对于防止系统性漏洞至关重要。
– CryptoReporter.
评论 (0)