近期,大型预测平台Polymarket 发生安全漏洞,多名用户报告称遭受损失,该漏洞似乎与第三方身份验证提供商有关。
本周早些时候, X和Reddit上开始出现Polymarket账户被盗的报告,受影响的用户分享了他们账户突然损失的细节。一位用户写道,尽管他坚称自己的设备没有被入侵,但醒来后却发现账户有3 次登录尝试。
该用户表示,谷歌并未标记任何可疑之处,其他所有服务看起来都很正常。然而,在访问该平台后,他们发现所有未平仓位都被平仓,账户余额降至仅剩0.01美元,这意味着他们的钱包被完全掏空了。
Reddit 上另一位评论者也描述了类似的Polymarket 账户被盗事件,他在账户资金消失前收到了三次登录通知。此外,他们声称自己没有点击任何链接,并且邮箱启用了双重验证,这引发了人们对服务提供商可能绕过双重验证的担忧。
根据社交媒体上多位用户的报告,受影响的账户主要属于通过Magic Labs注册的客户。该服务允许用户使用电子邮件地址登录,并在后台自动为他们创建非托管以太坊钱包。
Magic Labs 被许多缺乏数字资产钱包使用经验的加密货币新手广泛使用。然而,这种以便捷性为导向的邮箱登录钱包模式,一旦第三方基础设施遭到入侵或配置错误,也可能扩大攻击面。
X 和 Discord 上的一些社区成员猜测,该漏洞与Magic Labs 的身份验证问题直接相关。不过,目前这些说法尚未得到证实,因为尚未发布任何技术分析报告,也没有任何服务提供商公开确认存在安全漏洞。
Polymarket已承认,由于与外部服务相关的安全问题,多个用户账户遭受损失。周二,该团队在其官方Discord频道上就此事作出回应,确认问题根源在于第三方身份验证提供商。
“我们最近发现并解决了一个影响少数用户的安全问题,”该平台在Discord更新中写道。此外,Polymarket表示,该问题源于“第三方身份验证提供商引入的漏洞”,但未提供更多技术细节。
该公司并未透露受影响的用户数量或被盗总金额。但该公司强调漏洞已修复,并声称现有用户不再面临任何风险。团队补充说,他们将“联系受影响的用户”,以处理个别案例并进行可能的赔偿。
尽管用户猜测纷纷,Polymarket 至今仍拒绝透露涉事供应商的具体身份。The Block 已联系该团队以获取更多信息,但截至发稿时,尚未收到任何公开声明。
此次最新攻击与该预测平台此前面临的安全挑战如出一辙。 2024年9月,多位通过谷歌账户登录的用户报告称,其USDC钱包突然被盗,攻击者利用“代理”函数调用将用户资金转移到钓鱼地址。
当时,Polymarket表示正在调查这些攻击,认为它们可能是针对特定目标的攻击,并且再次表明这些攻击与第三方身份验证提供商有关,而非核心协议。此前关于USDC钱包资金被盗的报告引发了人们对外部登录工具在链上权限方面拥有多大控制权的质疑。
此外,上个月一起利用该平台评论区的网络钓鱼活动导致用户损失超过50万美元。诈骗分子发布伪装成官方网站的链接,诱骗用户使用邮箱登录,从而将评论区变成了钓鱼诈骗场所。
这一系列事件加剧了加密货币领域对第三方身份验证解决方案的审查。将传统电子邮件或社交账号登录与区块链钱包连接起来的便捷工具,如今被视为潜在的单点故障。此外,一旦此类服务提供商遭到入侵,攻击者无需攻破链上智能合约即可获得广泛的访问权限。
目前,Polymarket表示,当前问题已得到解决,受影响的用户将直接收到通知。然而,由于平台反复依赖外部身份验证供应商,未来可能会面临越来越大的压力,需要提供更清晰的透明度、更精细的权限控制以及更强有力的集成监控。
Polymarket最近发生的事件凸显了加密货币市场可用性和安全性之间的矛盾。
虽然第三方登录工具可以降低新用户的门槛,但它们也引入了新的攻击途径,平台和用户都需要了解这些途径,并更加积极主动地采取措施来缓解这些攻击。