Polymarket 安全事件警示：第三方认证漏洞如何清空用户钱包

去中心化预测市场平台 Polymarket 在 12 月 25 日确认，由于第三方身份验证服务提供商的安全漏洞，部分用户资金被盗，账户资金被清空。受影响的用户主要通过 Magic Labs 注册，这是一种允许用户使用电子邮件地址登录并自动创建非托管以太坊钱包的服务。

这个漏洞绕过了双因素认证等标准安全措施，引发了市场对加密平台第三方集成安全性的广泛关注。

01 事件概述：第三方漏洞暴露的资产风险

Polymarket 用户遭遇的资产盗窃并非源自平台核心智能合约漏洞，而是由其依赖的第三方身份验证服务提供商引入的安全漏洞导致。

该平台在官方 Discord 频道中表示：“我们最近发现并解决了一个影响少数用户的安全问题，这个问题是由第三方身份验证提供商引入的漏洞引起的。”

尽管平台声称问题已经修复且不存在持续风险，但具体受影响的用户数量和损失金额仍未披露，这一信息真空引发了社区对事件真实规模和严重程度的广泛担忧。

02 攻击过程：典型用户受害案例还原

根据社交媒体上的用户报告，这次安全事件呈现出明显的特征模式。

一位 Reddit 用户详细描述了自己的经历：“今天早上醒来，我发现了 3 次尝试登录 Polymarket 的通知——我的设备没有被入侵，Google 也没有发现任何可疑活动，其他所有服务都正常。”

然而当他登录 Polymarket 查看时，发现所有交易都已被平仓，账户余额仅剩下 0.01 美元，这意味着钱包几乎被完全清空。

另一位用户报告了相似的经历，尽管没有点击任何可疑链接，并在电子邮件上启用了双重验证，仍无法阻止攻击者在收到三次登录尝试通知后清空其账户资金。

03 受害群体：Magic Labs 注册用户成为主要目标

这次安全事件的受害者有一个共同点：他们大多通过 Magic Labs 服务注册 Polymarket 账户。

Magic Labs 是一个为加密货币新手设计的第三方登录服务，允许用户仅使用电子邮件地址登录，系统会自动在后台生成非托管以太坊钱包。 这种设计极大降低了加密世界的入门门槛，但也引入了新的攻击面。

攻击者似乎掌握了绕过多重验证机制的方法，而非通过传统钓鱼或恶意软件入侵用户设备。 这引发了对第三方身份验证服务作为单点故障可能性的严重关切。

04 平台回应：信息模糊引发更多疑虑

Polymarket 在回应此事时表现出明显的信息保留倾向，这引发了更多问题而非解答。

首先，平台仅模糊地称“少数用户”受影响，未提供具体数字或占比。 其次，平台未公布被盜金额总计，使社群无法评估事件严重性。 第三，Polymarket 未明确点名涉及的第三方服务提供商，尽管社群普遍猜测是 Magic Labs。

在技术细节方面，Polymarket 声称问题“已解决”，但并未解释具体采取了哪些修复措施。

有社区成员指出，事件发生后 Polymarket 似乎将其一次性密码长度从三位数增加到六位数，但该公司未就此公开置评。

05 安全启示：第三方集成的系统性风险

这并非 Polymarket 首次因第三方服务而遭遇安全事件。早在 2024 年 9 月，多位通过 Google 账户登录的用户就报告称他们的 USDC 资金被转移到钓鱼地址。

上个月，一场利用平台评论区的网络钓鱼活动导致用户损失超过 500,000 美元。 这些事件揭示了加密平台面临的一个普遍挑战：即使核心智能合约安全无虞，依赖的第三方服务也可能成为安全短板。

行业分析指出，当用户依赖于并非由核心平台直接控制的统一身份验证基础设施时，集成系统尤其容易受到攻击。

06 用户应对：资产保护的实践建议

对于加密货币用户而言，Polymarket 事件提供了重要的安全启示。

最直接的建议是避免使用第三方登录选项，改用自己控制私钥的钱包直接连接平台。 虽然这增加了使用门槛，但在平台证明其能够保护第三方整合安全之前，这是确保资产安全的最佳方式。

用户应定期检查账户活动，启用所有可用的安全功能，并对任何异常登录尝试保持警惕。 分散资产存储，不将所有资金集中在单一平台，也是降低风险的合理策略。

考虑到 Polymarket 计划从 Polygon 迁移并推出自己的以太坊 Layer 2 网络，用户在平台过渡期间应特别关注资产安全。

未来展望

截至 12 月 25 日，Polymarket 平台的总交易额已达 15.38 亿美元，月度活跃用户达到 419，309 人。 当用户早晨醒来发现账户只剩下 0.01 美元时，这一事件已不再是简单的技术故障，而是对整个加密货币生态系统安全架构的严峻拷问。

用户资金安全始终是 Gate 平台运营的基石。在加密行业面临复杂安全挑战的当下，Gate 持续加强安全基础设施，为用户提供多重资产保护机制。