Polymarket确认用户账户被盗系第三方身份验证漏洞引发

去中心化预测市场平台 Polymarket 近日证实，近期发生的一起涉及第三方身份验证提供商的安全漏洞事件导致多名用户账户遭到攻击。

本周早些时候，社交媒体平台 X 和 Reddit 上陆续出现关于账户被盗的报告。受影响的用户纷纷在平台上详细描述了他们的资金损失情况。

“今天早上醒来发现有 3 次登录 Polymarket 的尝试——我的设备没有被入侵，谷歌也没有发现任何可疑之处，其他所有服务都正常，”一位用户在 Reddit 上写道，“我打开 Polymarket，发现我的所有交易都已完成，余额只剩 0.01 美元。”

评论区另一位用户也声称遭遇了类似的安全问题。尽管他未点击任何可疑链接，并且电子邮件启用了双因素身份验证，但在 Polymarket 账户资金被盗之前，他收到了三次登录尝试通知。

根据社交媒体上的用户反馈，该问题似乎主要影响通过 Magic Labs 注册 Polymarket 的用户。Magic Labs 是一种允许用户通过电子邮件地址登录并创建非托管以太坊钱包的服务，广泛被加密货币新手使用。

官方回应：无持续风险

周二，Polymarket 在其官方 Discord 频道上承认了这一安全问题。

“我们最近发现并解决了一个影响少数用户的安全问题，”Polymarket 表示，“该问题是由第三方身份验证提供商引入的漏洞引起的。”

然而，Polymarket 并未透露受影响用户的数量或被盗金额，也未指明此次事件涉及的具体第三方服务提供商。该平台表示已解决该问题，并确认不存在任何潜在风险。

Polymarket 补充道：“我们将联系受影响的用户。” The Block 已联系 Polymarket，以获取更多详细信息。

反复出现的安全隐患

此次最新安全漏洞与该平台此前报道的安全事件如出一辙。

2024 年 9 月，多位通过谷歌账户登录的用户报告称，他们的钱包遭到盗刷。攻击者利用“代理”函数调用，将用户的 USDC 资金转移到钓鱼地址。当时，Polymarket 对这些事件进行了调查，认为这可能是与第三方身份验证提供商相关的定向攻击。

此外，上个月利用该平台评论区发起的网络钓鱼活动导致用户损失超过 50 万美元。诈骗分子发布伪装的链接指向欺诈网站，诱骗用户登录邮箱。