Polymarket は、ユーザーの資金が盗まれ、「ワンクリック ログイン」サードパーティ サービスに脆弱性があったことを認めています

Polymarket は、クリスマスイブに資金が盗まれたと報告しました。この脆弱性はサードパーティのウォレット サービス Magic Labs に由来しており、Web3 の利便性の背後にある単一リスク点を浮き彫りにしています。
(事前説明: 予測市場のリーダーである Polymarket が、独自の L2 を構築すると発表しました。Polygon の切り札はなくなったのでしょうか? )
(背景補足: Polymarket アービトラージを通じて年率 40% の収入を達成するにはどうすればよいですか? )

暗号通貨予測市場のリーダーである Polymarket は、資金が盗まれたと報告し、多くのユーザーが X と X に激怒しました。 12月24日早朝、レディットで「アカウント残高が空になった」との情報が投稿された。

プラットフォームはただちに公式 Discord のセキュリティ上の欠陥を認め、それが「サードパーティのサービスプロバイダー」であることを指摘しました。その後、オンチェーン追跡ツール Lookonchain がウォレット サービス プロバイダー Magic Labs を標的にし、このインシデントは 2025 年後半の仮想通貨市場で最も注目を集めたセキュリティ侵害となりました。

公式には修正されたと発表されましたが、まだ心配している人もいます

ユーザーがニュースを発表してから 1 時間も経たないうちに、Polymarket は次のような発表を行いました:

サードパーティに関連する脆弱性が見つかりましたサービスプロバイダーは修正されました。影響を受けるユーザーはごく少数であるため、これらのユーザーには積極的に連絡します。

この発表では損失額や犠牲者の数は明らかにされていないが、より大きなパニックを引き起こした。 Polymarket プラットフォームの 2025 年の単月取引高によると、毎月数十億ドルになると推定されています。 「非常に少ない数」であっても、多額の損失が発生する可能性があります。

一般的なフィッシング攻撃とは異なり、事件当時は不審なリンクが出回っておらず、多くの被害者は電子メールの 2FA を有効にしていました。防御線を回避する鍵はユーザー側にあるのではなく、バックグラウンドでの第三者認証にあります。

Magic Labs のログイン メカニズムが抜け穴になっている

しきい値を下げるために、Polymarket は Magic Labs の「電子メール ワンクリック ノンカストディアル ウォレット生成」を導入しました。ユーザーはニーモニックワードを保持する必要がなく、検証コードを送信するだけでイーサリアム資産を操作できます。ただし、攻撃者は Magic Labs 認証層のシステムの脆弱性を直接悪用してウォレットを制御するため、2FA は無効に相当します。

チェーン上の現在のフローは、ハッカーのアドレスが短期間で資産を分割し、複数の層でコインを混合したため、追跡がより困難になったことを示しています。当局者は「修復された」と述べたが、事件後の完全な報告を求める地域社会の要請にはまだ応じていない。

同時に、セキュリティ会社 SlowMist は、特に独自の取引スクリプトを作成する上級プレイヤーをターゲットとする、悪意のある Polymarket コピー ロボットの出現について GitHub に警告しました。このプログラムはローカル設定ファイルを読み取り、秘密鍵を秘密裏に送信します。 Magic Labs の脆弱性とは直接関係ありませんが、同日に発生しました。