Polymarketセキュリティ侵害：サードパーティの脆弱性によるユーザーアカウント流出

ハッカーの侵入口となったサードパーティログインツール

予測市場プラットフォームPolymarketは、2025年12月24日、サードパーティ認証サービスのセキュリティ脆弱性によって攻撃者がユーザーアカウントにアクセスし、資産を流出させたことを正式に確認しました。この侵害は、予測市場分野のセキュリティリスク全体として重要な課題であり、メールベースのログイン方式を利用したユーザーが直接ウォレット接続と比べて大きな影響を受けました。本件は、外部認証プロバイダーを十分に分離せず統合した分散型金融プラットフォームに存在する根本的な脆弱性を明らかにしています。

被害が報告された認証システムは、Magic Labsが関与していると広く認識されており、メールを使った「マジックリンク」ログインフローを処理し、ノンカストディアルなEthereumウォレットを生成しています。このサービスでアカウントを作成したユーザーは、複数回の不正ログイン試行通知を受けた後、資産が完全に流出したことを確認しました。多くのユーザーがSNSプラットフォームでログイン試行通知を受けた後、USDC残高がほぼゼロになっていたと報告しています。脆弱性は長期間解消されず、攻撃者は被害アカウントを体系的に特定・侵害しました。Polymarketのコアプロトコルは安全を保っており、被害はサードパーティ認証層に限定されていました。この点は、予測市場プラットフォームの脆弱性を理解する上で重要であり、分散型システムでも中央集権的な依存関係により重大なセキュリティリスクが生じることを示しています。被害ユーザーはすべて同じ認証経路からアカウントが侵害された一貫したパターンを示しており、これがセキュリティ研究者やプラットフォームの攻撃ベクトル特定を迅速化しました。

Polymarketの脆弱性を突いた攻撃者の資産流出手口

攻撃者は、サードパーティ認証の脆弱性を複数段階にわたる手法で悪用し、標準的なセキュリティ対策を回避しました。メールベースログインシステムの脆弱性により、脅威アクターは包括的な不正検知を回避しつつ、ユーザーアカウントへの不正アクセスが可能となりました。ユーザーは連続したログイン試行通知を受けており、攻撃者が認証情報の漏洩や認証トークンの傍受により初期アクセスを得た可能性を示唆しています。不正ログインが成立すると、攻撃者はほとんど障害なく資産移転を実行し、Polymarketアカウントに紐づくユーザーウォレットからUSDC残高を即座に流出させました。

この攻撃の技術的な仕組みは、Polymarketのサードパーティ認証導入方法に重大な弱点があったことを示しています。「マジックリンク」方式は利便性とアクセス性を目的としていましたが、特定の設定では多要素認証を回避可能な経路となっていました。被害ユーザーの一人は、不正アクセス時にメールによる二要素認証通知を受信しており、攻撃者が認証層を突破できる十分な権限を持っていたことが判明しています。資金は複数の暗号資産アドレスで迅速に移動され、オンチェーン分析により盗難資産が即座に分割・洗浄され出所が隠蔽されたことが明らかになりました。こうしたトランザクションはアカウント侵害から数分以内に完了しており、攻撃者は事前準備された自動化プロセスで作業していたと考えられます。この高度な運用は、偶発的な乗っ取りではなく、予測市場プラットフォームの脆弱性を標的とした組織的な攻撃キャンペーンであることを示唆します。資産移転に明確な承認が不要だった点は、認証の脆弱性がアカウント全体へのアクセスを許し、攻撃者が正規ユーザーと同等の取引権限を得ていたことを意味します。Polymarketの調査は、脆弱性がサードパーティプロバイダーのインフラに起因し、プラットフォームのコアシステムやコントラクトには関係しないことを確認しています。

重大なセキュリティ失敗とユーザーが見逃した要因

複数のセキュリティ失敗が重なり、ユーザーアカウントに広範な被害をもたらしました。Polymarketはサードパーティ認証サービスに対する十分な監視や分離運用を実施しておらず、脆弱性が長期間放置されました。認証システムと資産移転メカニズムとの隔離が不十分で、一つのレイヤーの侵害が資産流出に直結しました。さらに、Polymarketのインシデント対応プロトコルは、ユーザーへの通知、アカウント回復手順、補償制度が明確に定義されていませんでした。

ユーザーもまた、損失を防ぐ上で重要な警告サインを見逃していました。多くの被害者はログイン試行通知を受けていたにもかかわらず、認証情報の変更や追加のセキュリティ対策を即座に講じませんでした。一部ユーザーは標準的なメールベースの二要素認証のみを信頼し、認証サービスが侵害された場合にこの層が突破されるリスクを把握していませんでした。サードパーティサービスでアカウントを作成し、資産を直接ウォレットで管理していなかったユーザーは、メールベースアクセスのカストディリスクを許容していました。コミュニティで推奨されるハードウェアウォレットや確立されたカストディソリューションの活用は、利便性を優先したユーザーには十分に浸透していませんでした。多くの予測市場トレーダーは複数ポジションやアカウントを高頻度で運用するため、選択したログイン方式のセキュリティリスクを見落としがちです。本件は、技術に精通する暗号資産投資家であっても、取引に注力するあまり、アカウント保護の基本原則を見逃すことがあることを示しています。

予測市場で暗号資産を守るための即時対策

予測市場で取引する暗号資産投資家は、資産保護と不正アクセス防止のため速やかなセキュリティ対策が必要です。最初の重要な措置は、メールベース認証システムからの全面的な移行です。予測市場プラットフォームのアカウントは、LedgerやTrezorなどのハードウェアウォレットによる直接接続を導入し、仲介的な認証サービスの利用を避けてください。これにより、サードパーティ認証プロバイダーによる攻撃対象が排除されます。メールベースアカウントからすぐに移行できない場合は、SMSやメール配信ではなく認証アプリによる二要素認証など、利用可能な全セキュリティ機能を有効化してください。メールベースの二要素認証は、今回の脆弱性と同様の方法で突破される可能性があります。

すべての予測市場プラットフォームでの取引アカウント活動を徹底的に監査し、未承認取引、ポジションのクローズ、資産移動など自身が実行していないアクションがないか常に確認しましょう。アカウントの取引履歴を参照し、すべての取引・入金・出金が自分の行動と一致しているか検証してください。不正活動を発見した場合は、速やかにプラットフォームのセキュリティチームへ連絡し、回復や規制報告のために全取引記録を保存してください。プラットフォームが対応していれば、地理的・IPアドレス制限をアカウントに設定することで、攻撃者が正規認証情報を持っていても異なる場所からのアクセスを防げます。高額残高のアカウントは、取引セッションの合間に主要資産をコールドストレージや安全なセルフカストディへ移動し、予測市場プラットフォームは運用資本のみを預ける運用方法を推奨します。Polymarketや他の予測市場プラットフォームは、資産保管ではなく取引インターフェースとして利用するべきです。認証方法や認証情報は定期的に見直し、パスワードは3ヶ月ごと、または2025年12月24日のようなプラットフォーム全体のセキュリティインシデント発生後には即変更してください。メールプロバイダーの通知機能を活用し、アカウントアクセスや回復試行時に通知を受けることで、侵害の兆候を素早く把握できます。暗号資産プラットフォーム専用のメールアドレスを用意し、主要メールと分離することで、該当メールアカウントが侵害された場合の被害拡大を防げます。Gateなどのサービスを取引基盤やアカウント管理に使用する場合は、最強の認証方式を導入し、データ取扱いの透明性を確保してください。SNSやコミュニティフォーラム、公式プラットフォーム発表でセキュリティアップデートや脆弱性開示を継続的に監視し、予測市場プラットフォームの脆弱性情報をもとに保護策やアカウントセキュリティを強化してください。