폴리마켓은 사용자 자금이 도난당했으며 '원클릭 로그인' 제3자 서비스가 취약점이 되었다고 인정했습니다.

Polymarket은 크리스마스 이브에 자금이 도난당했다고 보도했습니다. 이 취약점은 타사 지갑 서비스인 Magic Labs에서 발생하여 Web3의 편리함 뒤에 숨은 단일 위험 지점을 강조합니다.
(사전 브리핑: 예측 시장의 선두주자인 폴리마켓이 자체 L2를 구축하겠다고 발표했다. 폴리곤의 비장의 카드는 사라진 것인가?)
(배경 보충: 폴리마켓 차익거래를 통해 연평균 40% 수익을 달성하는 방법은?)

암호화폐 예측 시장의 선두주자인 폴리마켓이 자금을 도난당했다고 보도하자 많은 사용자들이 X와 Reddit에 분노했다. 12월 24일 이른 아침 "계좌 잔고가 비었다"는 소식이 전해졌습니다.

플랫폼은 공식 디스코드의 보안 결함을 즉각 인정하고 '제3자 서비스 제공자'를 지목했다. 이후 온체인 추적 도구인 Lookonchain은 지갑 서비스 제공업체인 Magic Labs를 표적으로 삼아 이 사건을 2025년 말 암호화폐 시장에서 가장 주목받는 보안 침해로 만들었습니다.

공식적으로는 문제가 해결되었다고 밝혔지만 일부 사람들은 여전히 걱정하고 있습니다.

사용자가 이 소식을 전한 지 1시간도 채 안 되어 Polymarket은 다음과 같은 발표를 했습니다.

저희는 제3자 서비스 제공업체와 관련된 취약점을 발견했습니다. 고정. 극소수의 사용자만 영향을 받으며, 당사는 이러한 사용자에게 사전에 연락할 것입니다.

이 발표는 피해액이나 피해자 수를 공개하지 않았지만 더 큰 공황을 불러 일으켰습니다. 폴리마켓 플랫폼의 2025년 한 달 거래량에 따르면 월간 거래액은 수십억 달러에 달할 것으로 추산된다. "아주 적은 수"라도 높은 손실을 초래할 수 있습니다.

일반적인 피싱 공격과 달리 사건 당시에는 의심스러운 링크가 유포되지 않았으며 많은 피해자가 이메일 2FA를 활성화하기도 했습니다. 방어선을 우회하는 열쇠는 사용자 측이 아닌 백그라운드의 제3자 인증에 있다.

Magic Labs 로그인 메커니즘은 허점이 되었습니다

한계를 낮추기 위해 Polymarket은 Magic Labs의 “이메일 원클릭 비수탁 지갑 생성”을 도입했습니다. 사용자는 니모닉 단어를 보관할 필요가 없으며 인증코드를 전송하여 이더리움 자산을 운용할 수 있습니다. 그러나 공격자는 Magic Labs 인증 레이어의 시스템 취약점을 직접 악용하여 지갑에 대한 제어권을 획득하므로 2FA는 유효하지 않은 것과 같습니다.

현재 체인의 흐름을 보면 해커 주소가 짧은 시간 내에 자산을 분할하고 여러 레이어에 걸쳐 코인을 혼합해 추적이 더욱 어려워지는 것으로 나타났습니다. 관계자는 "수리를 마쳤다"고 말했지만, 완전한 사고 후 보고서를 요청하는 지역사회의 요청에는 아직 응답하지 않았습니다.

동시에 보안 회사인 SlowMist는 특히 자체 거래 스크립트를 작성하는 고급 플레이어를 표적으로 삼는 악성 Polymarket 복사 로봇의 출현에 대해 GitHub에 경고했습니다. 이 프로그램은 로컬 구성 파일을 읽고 비밀리에 개인 키를 보냅니다. 매직랩스 취약점과 직접적인 연관은 없지만 같은 날 발생했다.