Polymarket 遭第三方授權漏洞攻擊，用戶資金損失

• 第三方認證漏洞繞過了 Polymarket 的雙重驗證保護，導致未經授權的帳戶存取與提款。
• 用戶報告餘額被清空，包括一些頂尖帳戶，部分用戶損失數千美元，儘管未有設備被入侵。
• Polymarket 已修補該漏洞，並將聯繫受影響的用戶，但總損失金額與帳戶數量尚未公布。

Polymarket 本週確認發生安全漏洞，原因是用戶報告帳戶被清空以及平台出現可疑登入活動。事件發生在 Polymarket 的預測市場平台上，相關報導於星期二在 Reddit 和 X 上浮現。根據該公司表示，第三方認證漏洞繞過了雙重驗證，導致未經授權的存取與資金提款。

用戶報告引發平台回應

值得注意的是，用戶在收到與其 Polymarket 帳戶相關的意外登入提醒後開始反映問題。多位用戶報告在餘額消失前曾多次嘗試登入。

一位 Reddit 用戶表示，他的帳戶餘額在一夜之間降至 $0.01，儘管未有設備被入侵。另一位在 X 上的用戶則報告損失約 $2,000，即使啟用了雙重驗證。

然而，這些報告並未局限於單一平台。其他在 X 上的用戶表示，攻擊者已清空高階帳戶與測試帳戶。一位用戶聲稱他的“前1000名” Polymarket 帳戶已被完全清空。隨著這些報告擴散，用戶開始質疑攻擊者是如何繞過現有安全層的。

第三方登入工具受到關注

隨著焦點轉向認證方式，幾位用戶指出 Magic Labs 可能是來源之一。Magic Labs 提供基於電子郵件的登入服務，並為用戶自動生成錢包。

該工具允許沒有加密貨幣錢包的新手用戶存取像 Polymarket 這樣的平台。用戶聲稱受影響的帳戶是使用 Magic Labs 創建的，儘管未收到任何釣魚電子郵件。

與此同時，Polymarket 並未確認該供應商的身份。然而，該公司表示漏洞源自其核心基礎設施之外。Polymarket 強調，問題來自第三方登入提供者，而非內部系統。

Polymarket 確認修復，並未公開細節

根據在 Polymarket Discord 分享的一份聲明，該公司已識別並修補了該漏洞。平台表示此問題影響“少數用戶”，並確認沒有持續的風險。Polymarket 補充說會直接聯繫受影響的用戶。

然而，Polymarket 未披露受影響的帳戶數量或總損失金額。Magic Labs 也未對媒體詢問作出回應。值得注意的是，這與 2024 年底涉及 Google 登入的類似用戶報告相呼應。