loading...
去中心化预测市场平台 Polymarket 近日确认,一起由第三方身份验证提供商引入的安全漏洞导致部分用户账户被攻破,引发资金损失。
本周早些时候,社交媒体平台 X 和 Reddit 上陆续出现大量关于账户被盗的报告。一位用户在 Reddit 上描述:‘今天早上醒来发现有3次登录尝试——我的设备没有被入侵,谷歌也没有发现任何可疑之处,其他所有服务都正常,’随后打开 Polymarket 发现交易已完成,余额仅剩0.01美元。
另一位用户虽启用双因素身份验证且未点击可疑链接,仍收到三次登录通知,并在短时间内遭遇资金流失。这些现象指向系统层面的身份验证缺陷。
根据用户反馈,受影响者多为通过 Magic Labs 注册 Polymarket 的新用户。Magic Labs 提供基于电子邮件的非托管以太坊钱包创建服务,因其操作简便而广受新手欢迎。然而,其身份验证流程可能成为攻击入口。
尽管 Polymarket 未公开具体合作方名称,但社区普遍推测此次事件与 Magic Labs 存在关联,进一步引发对第三方集成风险的关注。
周二,Polymarket 在官方 Discord 频道发布声明称:‘我们最近发现并解决了一个影响少数用户的安全问题,该问题源于第三方身份验证提供商的漏洞。’
平台表示已修复漏洞,确认当前不存在潜在威胁,并承诺将主动联系受影响用户。目前尚未公布具体损失金额及受影响人数。
这并非 Polymarket 首次遭遇类似攻击。2024年9月,多名使用谷歌账户登录的用户报告钱包资金被转移,攻击者利用代理函数调用将 USDC 资金转至钓鱼地址,当时调查认为系第三方身份验证环节存在定向攻击可能。
此外,上个月平台评论区曾爆发大规模网络钓鱼活动,诈骗分子发布伪装链接诱导用户登录虚假邮箱页面,造成超50万美元资产损失。
此类事件反映出加密应用在快速扩张过程中,对第三方服务依赖带来的安全隐患日益突出。即使核心协议本身安全,一旦身份验证、钱包集成等环节存在薄弱点,仍可能导致严重后果。
对于普通用户而言,即便启用双因素验证,也难以防范基于身份验证流程的高级攻击。因此,加强区块链分析能力、提升资产存储意识已成为长期持有者的必修课。
740
489
744
225
464
146
633
360
837
195
