針對近期有用戶遭駭客盜領資產的情形,去中心化預測市場平台 Polymarket 周二證實,入侵事件是因第三方身份驗證服務商存在安全漏洞所致。
未點擊釣魚連結、啟用雙重驗證 帳號卻遭清空
這起資安事件從本週初開始發酵,不少用戶在 Reddit 和 X 上發出求救貼文,詳細描述了帳戶資產不翼而飛的慘劇,其中一位用戶在 Reddit 討論區指出:
今天早上我一睜開眼,就看到手機顯示有 3 次嘗試登入 Polymarket 的通知。我的裝置沒有被盜、 Google 帳號也沒異常,但當我趕快登入 Polymarket 查看時,發現所有交易都被平倉,帳戶餘額只剩下 0.01 美元。
留言板中另一位苦主也遭遇了相同模式的攻擊:在收到 3 次登入警報後,帳戶資金隨即被洗劫一空。令人不安的是,這位用戶強調自己從未點擊任何釣魚連結,甚至連電子郵件也啟用了「雙重驗證(2FA)」,卻依然擋不住駭客的毒手。
根據社群媒體上的受害者資料彙整,這次攻擊似乎集中鎖定透過 Magic Labs 註冊 Polymarket 的用戶。
Magic Labs 是專為加密貨幣「新手」設計的第三方登入與錢包服務。用戶不需要具備複雜的私鑰管理知識,使用電子郵件即可快速註冊開戶,系統會自動在後台生成一個「非託管式以太坊錢包」。
儘管 Magic Labs 讓進入幣圈的門檻變低了,但這次攻擊顯示,標榜便利的第三方驗證服務,一旦出現資安漏洞,反而可能成為駭客入侵的捷徑。
沉默數日後,Polymarket 周二終於在官方 Discord 頻道中回應此事:
我們最近發現並解決了一個影響少部分用戶的安全問題,這起事故是因第三方身分驗證服務商的漏洞所致。
不過,Polymarket 並未說明具體受影響人數,也未揭露遭竊資金總額,同時也未點名涉事的第三方服務商。平台僅強調,相關漏洞已完成修補,目前未觀察到任何持續性風險。
Polymarket 補充,將主動聯繫所有受影響用戶,至於是否會全額賠償用戶損失,則有待進一步說明。
免責聲明:本文只為提供市場訊息,所有內容及觀點僅供參考,不構成投資建議,不代表區塊客觀點和立場。投資者應自行決策與交易,對投資者交易形成的直接或間接損失,作者及區塊客將不承擔任何責任。
