Polymarket 在用戶帳戶遭入侵後處理第三方服務商漏洞

TLDR

• Polymarket 確認發生與第三方身份驗證提供商相關的安全漏洞。
• 透過 Magic Labs 註冊的用戶在可疑登入後回報帳戶被盜領。
• 該問題影響了一小群用戶，Polymarket 已解決此漏洞。
• Polymarket 承諾在第三方漏洞事件後聯繫受影響的用戶。

去中心化預測市場平台 Polymarket 確認發生影響多名用戶的安全漏洞。該漏洞與第三方身份驗證提供商的弱點有關，特別影響了透過 Magic Labs 註冊的用戶。受影響的用戶回報在遭遇可疑登入嘗試後，其帳戶餘額被盜領。

帳戶被盜領的回報浮出檯面

用戶首先在 Reddit 和 X 等社群媒體平台上回報此漏洞，詳細說明了他們的帳戶如何遭到入侵。一名用戶在 Reddit 上分享了他們的經歷，表示：「今天我醒來看到 3 次嘗試登入 Polymarket — 我的裝置沒有被入侵，Google 沒有發現任何可疑之處，所有其他服務都正常。」該用戶隨後發現所有交易都被關閉，餘額降低到只剩 0.01 美元。

其他用戶回報了類似事件，儘管他們的電子郵件啟用了雙因素驗證，他們的 Polymarket 帳戶仍被盜領。該問題似乎主要影響透過 Magic Labs 註冊的用戶，Magic Labs 使用電子郵件登入來提供非託管的 Ethereum 錢包。Magic Labs 以吸引尚未擁有數位錢包的首次加密貨幣用戶而聞名。

Polymarket 的確認與解決方案

12 月 23 日，Polymarket 在其官方 Discord 頻道上確認了此漏洞。該平台確認已識別並解決了問題，向用戶保證不存在持續性風險。在聲明中，Polymarket 解釋該弱點源自第三方身份驗證提供商，並承諾聯繫受此漏洞影響的用戶。

「我們最近識別並解決了影響少數用戶的安全問題，」Polymarket 指出。「該問題是由第三方身份驗證提供商引入的弱點造成的。我們將與受影響的用戶聯繫，」該平台進一步說明。

然而，Polymarket 並未提供有關受影響用戶數量或此漏洞造成的總財務損失的具體細節。此外，第三方提供商的身份也未被披露。

先前的安全問題與持續關注

這起最新事件並非 Polymarket 首次面臨與第三方服務相關的安全問題。2024 年 9 月，發生了涉及 Google 登入的類似漏洞。用戶回報攻擊者利用第三方身份驗證系統的弱點，從他們的錢包中盜領 USDC 資金。Polymarket 將該漏洞歸因於與用於 Google 登入的第三方服務相關的針對性攻擊。

2024 年 11 月，一項獨立的釣魚活動利用了 Polymarket 的留言區，導致用戶損失超過 50 萬美元。詐騙連結在留言區中被分享，促使用戶透過電子郵件登入，進而導致資金被竊取。

持續的安全措施與用戶安全

Polymarket 強調已解決當前的安全問題，並向用戶保證不存在殘留風險。該平台表示致力於聯繫受影響的用戶以進一步協助他們。

儘管採取了這些措施，此類安全問題的重複性質引發了對依賴第三方身份驗證提供商的平台長期安全性的質疑。隨著與加密貨幣相關的駭客攻擊和詐騙持續增加，敦促用戶保持警惕並遵循保護帳戶的最佳實踐。

Polymarket 在用戶帳戶漏洞後處理第三方提供商缺陷一文首次發表於 CoinCentral。