近期,大型預測平臺Polymarket 發生安全漏洞,多名用戶報告稱遭受損失,該漏洞似乎與第三方身份驗證提供商有關。
本週早些時候, X和Reddit上開始出現Polymarket賬戶被盜的報告,受影響的用戶分享了他們賬戶突然損失的細節。一位用戶寫道,儘管他堅稱自己的設備沒有被入侵,但醒來後卻發現賬戶有3 次登錄嘗試。
該用戶表示,谷歌並未標記任何可疑之處,其他所有服務看起來都很正常。然而,在訪問該平臺後,他們發現所有未平倉位都被平倉,賬戶餘額降至僅剩0.01美元,這意味着他們的錢包被完全掏空了。
Reddit 上另一位評論者也描述了類似的Polymarket 賬戶被盜事件,他在賬戶資金消失前收到了三次登錄通知。此外,他們聲稱自己沒有點擊任何鏈接,並且郵箱啓用了雙重驗證,這引發了人們對服務提供商可能繞過雙重驗證的擔憂。
根據社交媒體上多位用戶的報告,受影響的賬戶主要屬於通過Magic Labs註冊的客戶。該服務允許用戶使用電子郵件地址登錄,並在後臺自動爲他們創建非託管以太坊錢包。
Magic Labs 被許多缺乏數字資產錢包使用經驗的加密貨幣新手廣泛使用。然而,這種以便捷性爲導向的郵箱登錄錢包模式,一旦第三方基礎設施遭到入侵或配置錯誤,也可能擴大攻擊面。
X 和 Discord 上的一些社區成員猜測,該漏洞與Magic Labs 的身份驗證問題直接相關。不過,目前這些說法尚未得到證實,因爲尚未發佈任何技術分析報告,也沒有任何服務提供商公開確認存在安全漏洞。
Polymarket已承認,由於與外部服務相關的安全問題,多個用戶賬戶遭受損失。週二,該團隊在其官方Discord頻道上就此事作出回應,確認問題根源在於第三方身份驗證提供商。
“我們最近發現並解決了一個影響少數用戶的安全問題,”該平臺在Discord更新中寫道。此外,Polymarket表示,該問題源於“第三方身份驗證提供商引入的漏洞”,但未提供更多技術細節。
該公司並未透露受影響的用戶數量或被盜總金額。但該公司強調漏洞已修復,並聲稱現有用戶不再面臨任何風險。團隊補充說,他們將“聯繫受影響的用戶”,以處理個別案例並進行可能的賠償。
儘管用戶猜測紛紛,Polymarket 至今仍拒絕透露涉事供應商的具體身份。The Block 已聯繫該團隊以獲取更多信息,但截至發稿時,尚未收到任何公開聲明。
此次最新攻擊與該預測平臺此前面臨的安全挑戰如出一轍。 2024年9月,多位通過谷歌賬戶登錄的用戶報告稱,其USDC錢包突然被盜,攻擊者利用“代理”函數調用將用戶資金轉移到釣魚地址。
當時,Polymarket表示正在調查這些攻擊,認爲它們可能是針對特定目標的攻擊,並且再次表明這些攻擊與第三方身份驗證提供商有關,而非核心協議。此前關於USDC錢包資金被盜的報告引發了人們對外部登錄工具在鏈上權限方面擁有多大控制權的質疑。
此外,上個月一起利用該平臺評論區的網絡釣魚活動導致用戶損失超過50萬美元。詐騙分子發佈僞裝成官方網站的鏈接,誘騙用戶使用郵箱登錄,從而將評論區變成了釣魚詐騙場所。
這一系列事件加劇了加密貨幣領域對第三方身份驗證解決方案的審查。將傳統電子郵件或社交賬號登錄與區塊鏈錢包連接起來的便捷工具,如今被視爲潛在的單點故障。此外,一旦此類服務提供商遭到入侵,攻擊者無需攻破鏈上智能合約即可獲得廣泛的訪問權限。
目前,Polymarket表示,當前問題已得到解決,受影響的用戶將直接收到通知。然而,由於平臺反覆依賴外部身份驗證供應商,未來可能會面臨越來越大的壓力,需要提供更清晰的透明度、更精細的權限控制以及更強有力的集成監控。
Polymarket最近發生的事件凸顯了加密貨幣市場可用性和安全性之間的矛盾。
雖然第三方登錄工具可以降低新用戶的門檻,但它們也引入了新的攻擊途徑,平臺和用戶都需要了解這些途徑,並更加積極主動地採取措施來緩解這些攻擊。