Polymarket安全漏洞再发：第三方认证问题致用户账户被盗

去中心化预测市场平台 Polymarket 近日证实，其近期发生一起由第三方身份验证提供商引入的安全漏洞，导致部分用户账户遭攻击，资金被非法转移。

用户报告异常登录与资金清零

本周早些时候，社交媒体平台 X 和 Reddit 上陆续出现用户反映账户异常。一位用户在 Reddit 发帖称：‘今天早上发现三次登录尝试，设备未被入侵，谷歌也无警报，但打开 Polymarket 后余额仅剩 0.01 美元。’另一用户表示，尽管启用了双因素验证且未点击可疑链接，仍收到三次登录通知，随后账户资金被清空。

指向 Magic Labs 的潜在关联

根据用户反馈，此次事件主要影响通过 Magic Labs 注册的用户。该服务允许用户以电子邮件地址快速创建非托管以太坊钱包，广泛用于新手入门，但其身份验证机制可能成为攻击入口。尽管 Polymarket 未公开提及具体合作方，但社交媒体已有大量猜测指向 Magic Labs。

官方回应：问题已修复，无持续风险

周二，Polymarket 在官方 Discord 频道发布声明：“我们已识别并解决一个影响少数用户的系统性安全问题，根源为第三方身份验证提供商的漏洞。”平台强调，当前系统已恢复正常，不存在持续风险，并承诺将主动联系受影响用户。然而，关于受损人数、被盗金额及具体技术细节，仍未对外披露。

历史安全问题反复浮现

这并非 Polymarket 首次遭遇类似攻击。2024 年 9 月，多位通过谷歌账户登录的用户遭遇钱包盗刷，攻击者利用代理函数调用将 USDC 转移至钓鱼地址，当时平台初步判断系第三方认证环节被利用。此外，上月评论区曾爆发大规模网络钓鱼活动，诈骗链接诱导用户登录虚假邮箱，造成超 50 万美元损失。

此类事件反映出加密应用在快速扩张过程中对第三方依赖带来的安全隐患。随着用户增长和功能复杂化，身份验证链路已成为高危节点。尽管 Polymarket 已采取补救措施，但如何提升整体安全架构、强化第三方审计机制，仍是行业亟待解决的挑战。