目覚めるとアカウント残高が0.01ドルに!Polymarketは、一部のユーザーが盗まれ、サードパーティの脆弱性によるものだと確認しました
針對近期有用戶遭駭客盜領資產的情形,去中心化預測市場平台 Polymarket 周二證實,入侵事件是因第三方身份驗證服務商存在安全漏洞所致。 未點擊釣魚連結、啟用雙重驗證 帳號卻遭清空 このセキュリティインシデントは今週初めから拡大し、多くのユーザーが Reddit や X に救援投稿を行い、アカウント資産が消失した悲劇を詳細に記述している。その中の一人のユーザーは Reddit の討論区で次のように述べている:
今朝目を覚ましたら、スマホに Polymarket へのログイン試行が3回あった通知が表示された。私のデバイスは盗まれていないし、Googleアカウントも異常はないが、急いで Polymarket にログインしてみると、すべての取引が清算され、アカウント残高は0.01ドルだけになっていた。
掲示板の別の被害者も同じパターンの攻撃に遭っている:3回のログイン警報を受け取った後、アカウント資金は一瞬で奪われた。気になるのは、このユーザーは一度も釣魚リンクをクリックしておらず、電子メールにおいても「二要素認証(2FA)」を有効にしていたにもかかわらず、ハッカーの手から逃れられなかった点だ。 コミュニティメディア上の被害者情報をまとめると、今回の攻撃は Magic Labs を通じて Polymarket に登録したユーザーを狙ったものと見られる。 Magic Labs は暗号資産「オンチェーン出金」のための第三者ログインおよびウォレットサービスを提供している。ユーザーは複雑な秘密鍵管理の知識を持つ必要なく、メールアドレスだけで迅速に登録・口座開設が可能で、システムは自動的に「非管理型イーサリアムウォレット」を生成する。 Magic Labs により暗号界への参入障壁は低くなったが、今回の攻撃は、便利さを謳う第三者認証サービスがセキュリティホールを抱えると、一気にハッカーの侵入経路となり得ることを示している。 数日沈黙した後、Polymarketは火曜日に公式 Discord チャンネルでこの件に関してついに回答した:
最近、少数のユーザーに影響を与えるセキュリティ問題を発見し、解決しました。この事故は第三者身分認証サービスの脆弱性によるものです。
しかし、Polymarketは具体的な被害者数や盗まれた資金の総額については明らかにせず、関与した第三者サービス提供者の名前も公開していない。プラットフォームは、関連する脆弱性はすでに修正済みであり、現時点で継続的なリスクは観察されていないと強調している。
