Polymarket 承认用户资金遭窃，「一键登入」第三方服务成破口

Polymarket 圣诞前夕爆出资金遭窃，漏洞源自第三方钱包服务 Magic Labs，突显 Web3 便利性背后的单点风险。
（前情提要：预测市场龙头 Polymarket 宣布自建 L2，Polygon 的王牌没了？ ）
（背景补充：如何通过 Polymarket 套利实现年化 40% 收益？ ）

加密预测市场龙头 Polymarket 传出资金遭窃，多名用户在 12 月 24 日凌晨于 X 与 Reddit 狂怒「帐户余额被清空」。

平台旋即在官方 Discord 承认安全漏洞，并指向「第三方服务供应商」。链上追踪工具 Lookonchain 随后锁定钱包服务业者 Magic Labs，让这起事件成为 2025 年末最受关注的加密市场安全破口。

官方称已修复，但仍有人担心

用户爆料后不到一小时，Polymarket 发布公告：

我们发现一个与第三方服务供应商相关的漏洞，目前已完成修复。受影响的用户仅占极少数，我们将主动联系这些用户。

公告未揭露损失金额与受害人数，却引起了更大的恐慌。依照 Polymarket 2025 年的平台单月成交额，每月都是数十亿美元估算，即便「极少数」也可能是高额损失。

不同于常见钓鱼攻击，事发当下没有可疑连结流传，许多受害者甚至启用电子邮件 2FA。防线被绕过的关键，不在用户端，而在后台的第三方认证。

Magic Labs 登入机制成为破口

Polymarket 为降低门槛，引入 Magic Labs 的「Email 一键生成非托管钱包」。用户无需保管助记词，寄送验证码即可操作以太坊资产。而攻击者直接利用 Magic Labs 认证层的系统漏洞取得钱包控制权，2FA 等同无效。

目前链上流向显示，骇客地址短时间内拆分资产并透过多层混币，增加追查难度。官方虽称「已经修复」，但尚未回应社群要求的完整事后报告。

与此同时，安全公司 SlowMist 警告 GitHub 出现恶意 Polymarket 跟单机器人，专门针对自建交易脚本的高阶玩家。该程式会读取本地配置档并偷偷传出私钥，虽与 Magic Labs 漏洞无直接关联，却在同一天爆发。