2025年12月24日 — Polymarket,一個去中心化預測市場平台,證實第三方身份驗證提供者中的安全漏洞導致未經授權的存取與用戶帳戶資金轉移。這次洩漏主要影響透過 Magic Labs 註冊的使用者,該服務提供以電子郵件一鍵建立以太坊帳戶的錢包。
多名使用者報告在啟用電子郵件帳戶的雙因素認證後,仍出現帳戶餘額突然被盜的情況。對鏈上交易的分析顯示,攻擊者利用該認證漏洞繞過登入控制,執行智慧合約呼叫,將以太幣(Ether)及 ERC-20 代幣轉移到攻擊者控制的地址。
Polymarket 的工程團隊在 Magic Labs 整合層中找到了根本原因,並於12月23日部署了修補程式。在官方 Discord 公告中,該公司表示漏洞已被封鎖,尚未發現其他事件。Polymarket 未披露受影響帳戶的總數或被盜資產的總量,但強調核心交易協議與智慧合約仍然安全。
該平台計畫遷移至自有的以太坊 Layer 2 網路 POLY,並停用第三方登入服務,以消除類似的依賴。受影響的使用者將收到直接通知,說明恢復選項,儘管 Polymarket 尚未承諾對損失給予賠償。
業界專家強調此事件是關於外包關鍵認證機制風險的警示案例。隨著 Web3 專案日益依賴外部 SDK 進行使用者註冊,嚴格的安全審核與應急回退控制對於防止系統性漏洞至關重要。
– CryptoReporter.
評論 (0)