多名用户报告在使用Polymarket应用时遭遇钱包攻击,他们在通过Google 登录后发现资金消失。
调查显示最近的身份验证方法存在漏洞和网络钓鱼攻击。以下是所有详细信息。
Summary
Polymarket 用户报告在通过 Google 访问后钱包被清空
在过去的几个月里,Polymarket 的多个用户,这个平台是一个流行的市场预测平台,报告了一个令人担忧的情况:他们的 wallet 在通过 Google 登录后神秘地被清空了。
虽然使用标准Web3钱包的用户,如MetaMask或Trustwallet,没有受到影响,但依赖于最新的OAuth或Email OTP访问方法的用户似乎是主要受害者。
这个问题导致许多人质疑这些新型身份验证方式的安全性以及系统中可能存在的漏洞。
其中一位首先报告问题的用户是HHeego,他是Polymarket的Discord社区成员。据他所说,8月5日,他通过Binance在他的Polymarket账户中存入了大约$1,085.80的USD Coin (USDC)。
然而,在等待了几个小时没有看到存款后,他加入了Polymarket的Discord服务器寻求帮助。在这里,他发现其他用户也遇到了类似的问题。
由于确信这可能只是一个简单的用户界面错误,HHeego不再担心。不久之后,存款终于出现在他的钱包中。
然而,随着它出现的速度一样快,整个$1.188,72 USDC余额消失了,包括在存款前已经在他账户上的$102,92。
HHeego 立即通过 Polygonscan 区块浏览器检查了交易历史记录,发现他的余额已被转移到一个名为 “Fake_Phishing399064” 的账户。
这个事件标志着噩梦的开始。
尽管资金被提取,HHeego的未平仓操作总价值为$2.000,仍然保持不变。
这个奇怪的细节进一步加剧了攻击背后的神秘感,让人们猜测这不仅仅是一个简单的漏洞,而是某种更有针对性和特定的东西。
第二次攻击和客户服务的干预
最初认为他的投资组合枯竭只是一个错误
临时的,HHeego 决定在8月11日存入额外的 $4.111,31。
但是,和以前一样,资金立即从同一个网络钓鱼账户中提取,导致他的总损失高达$5,197.11。这时,HHeego意识到他的账户已被入侵。
随后,他决定关闭所有操作,总计约 $1.000,并将剩余资金提取到他的 Binance 账户。令人惊讶的是,黑客没有动这些资金,提款成功完成。
这进一步加强了他对攻击仅限于存款金额而不涉及已开立操作收益的信念。
当 HHeego 再次联系 Polymarket 客户支持时,他被告知他的账户可能已被compromesso,并且他不应该再使用它。
代理人向他承诺,团队正在努力更好地了解发生了什么,并且很快会提供更多详细信息。然而,在8月15日收到最后一条消息后,他再也没有收到团队的更新。
第二个受害者:Cryptomaniac
另一位用户,在 Discord 上被称为 “Cryptomaniac”,也经历了类似的情况。8月9日,他存入了745美元后,资金从他的账户中被提取并发送到与 HHeego 案件中涉及的相同的网络钓鱼账户。
尽管 Polymarket 团队最初尝试提供帮助,但最终 Cryptomaniac 停止了收到回复。
在几周未能解决问题的尝试之后,他报告说客户服务团队已经停止了所有沟通。
Cryptomaniac 还展示了客户服务收到的其中一份声明的截图,其中代理人声称该攻击已经在其他五个场合中被观察到,暗示至少还有三名受害者的存在。
此外,有证据表明,攻击者使用 OTP 电子邮件身份验证来访问受害者的账户。这意味着比简单的网络钓鱼更复杂的违规行为。
通过Google访问的漏洞在对Polymarket钱包的攻击中
调查集中在受害者使用的访问方式上。
与使用 MetaMask 或 Trustwallet 等 Web3 钱包的用户不同,这些用户没有受到影响,HHeego 和 Cryptomaniac 都使用了 Google 访问来管理他们的账户。
实际上,Polymarket 使用 Magic SDK 开发工具包 允许用户无需密码或种子即可访问,通过 Google 或电子邮件 OTP 轻松登录。
然而,这个系统似乎出现了一个尚未澄清的漏洞。 这使得攻击者能够在不破坏受害者Google账户的情况下窃取他们的资金。
根据Magic Labs的文件,该系统生成一个“用户主密钥”,并将其存储在Amazon Web Services (AWS)的硬件安全模块中。
此密钥可用于解密存储在用户设备上的第二个加密密钥,从而允许在Polymarket上启动交易。
然而,两名受害者都表示从未发现未经授权访问他们的Google账户,这使得理解这次攻击变得更加复杂。