多名用户报告称,在一次似乎与第三方身份验证提供商有关的近期漏洞后,Polymarket这一主要预测平台上出现了损失。
Summary
Polymarket用户描述账户突然被入侵和余额被清空
本周早些时候,关于Polymarket的账户入侵报告开始在X和Reddit上出现,受影响的用户分享了突然损失的细节。一位用户写道,醒来后发现有3次登录尝试,尽管他们坚称自己的设备没有被入侵。
该用户表示,Google没有标记任何可疑活动,其他服务看起来也正常。然而,在访问平台后,他们发现所有的未平仓头寸都已关闭,余额仅剩$0.01,这表明钱包已被完全清空。
另一位Reddit评论者描述了类似的Polymarket账户入侵,在资金从账户中消失之前,他们收到了三次登录通知。此外,他们声称没有点击任何链接,并在电子邮件上启用了双因素认证,这引发了对提供商级别可能存在双因素认证绕过的担忧。
关注Magic Labs和基于电子邮件的钱包访问
根据社交媒体上的多份用户报告,受影响的账户大多属于通过Magic Labs注册的客户。该服务允许用户使用电子邮件地址登录,并在后台自动为他们创建非托管以太坊钱包。
Magic Labs被广泛用于缺乏数字资产钱包经验的首次加密用户。然而,这种以便利为中心的电子邮件登录钱包模式如果第三方基础设施被入侵或配置错误,可能会扩大攻击面。
X和Discord上的一些社区成员推测,该漏洞直接与magic labs身份验证问题有关。不过,目前这些说法尚未得到验证,因为尚未发布任何技术事后分析,也没有提供商公开确认漏洞。
Polymarket确认第三方安全问题
Polymarket已承认,由于与外部服务相关的安全问题,多个用户账户遭受损失。周二,团队在其官方Discord频道上处理了这一事件,确认问题的核心是第三方身份验证提供商。
“我们最近识别并解决了影响少数用户的安全问题,”平台在Discord更新中写道。此外,Polymarket表示,问题源于“第三方身份验证提供商引入的漏洞”,但未提供进一步的技术细节。
公司没有披露受影响用户的数量或被盗的总价值。然而,它强调漏洞已被修复,并声称当前用户没有持续风险。团队补充说,他们“将与受影响的用户联系”,以解决个别案例和潜在的赔偿问题。
尽管用户猜测,Polymarket迄今拒绝透露涉及Polymarket漏洞的具体提供商。《The Block》已联系团队以获取更多信息,但截至撰写时尚未有进一步的公开声明。
早期事件:钱包被清空和社交钓鱼
最新的漏洞反映了该预测平台之前的安全挑战。在2024年9月,几位通过Google账户登录的用户报告了突然的USDC钱包被清空,攻击者使用“代理”功能调用将用户资金转移到钓鱼地址。
当时,Polymarket表示正在调查这些攻击,认为它们可能是针对性的漏洞,再次与第三方身份验证提供商有关,而非核心协议。早期的usdc钱包被清空报告引发了关于外部登录工具对链上权限控制程度的质疑。
此外,上个月利用平台评论区的钓鱼活动导致超过$500,000的用户损失。骗子发布伪装成官方页面的欺诈网站链接,诱导用户进行电子邮件登录,将界面变成钓鱼评论区骗局。
对加密领域第三方身份验证的持续审查
这一系列事件加剧了对加密领域第三方身份验证解决方案的审查。将传统电子邮件或社交登录与区块链钱包连接的便利工具现在被视为潜在的单点故障。此外,当此类提供商被入侵时,攻击者可能无需入侵链上智能合约即可获得广泛访问权限。
目前,Polymarket表示,紧急问题已得到解决,受影响的用户将被直接联系。然而,反复依赖外部身份验证供应商意味着平台可能面临越来越大的压力,需要提供更清晰的透明度、更细化的权限以及更强的监控。
最近在Polymarket发生的事件突显了加密市场中可用性与安全性之间的紧张关系。
虽然第三方登录工具可以降低新手的进入门槛,但它们也引入了新的攻击路径,平台和用户都需要更积极地理解和缓解这些风险。
