Polymarketがサードパーティ認証の脆弱性により攻撃され、ユーザーが資金を失う

• 第三者認証の脆弱性により、Polymarketの二要素認証が回避され、不正なアカウントアクセスと出金が可能になった。
• ユーザーからは、トップアカウントを含む残高の流出が報告されており、一部はデバイスの侵害なしに数千ドルを失った。
• Polymarketは脆弱性を修正し、影響を受けたユーザーに連絡するとしているが、総損失額やアカウント数は非公開のままである。

Polymarketは今週、ユーザーからアカウントの流出や不審なログイン活動の報告を受けて、セキュリティ侵害を確認した。事件はPolymarketの予測市場プラットフォーム上で発生し、RedditやXで火曜日に報告された。会社によると、第三者認証の脆弱性により二要素認証が回避され、不正アクセスと資金の引き出しが可能になった。

ユーザーレポートがプラットフォームの対応を引き起こす

特に、ユーザーはPolymarketアカウントに関連した予期しないログイン通知を受け取った後、この問題を指摘し始めた。複数のユーザーが残高が消える前に複数回のログイン試行を報告している。

あるRedditユーザーは、デバイスの侵害なしに一晩でアカウント残高が$0.01に減少したと述べた。別のXのユーザーは、二要素認証を有効にしているにもかかわらず約$2,000の損失を報告した。

しかし、これらの報告は一つのプラットフォームにとどまらず、他のユーザーもX上で攻撃者により高ランクおよびテスト用アカウントが流出したと述べている。あるユーザーは、自分の「トップ1000」Polymarketアカウントが完全に空になったと主張した。これらの報告が広まるにつれ、ユーザーは攻撃者が既存のセキュリティ層をどのように回避したのか疑問を持ち始めた。

第三者ログインツールの調査

認証方法に注目が集まる中、いくつかのユーザーはMagic Labsをその原因と指摘した。Magic Labsはメールベースのログインサービスと自動生成されたウォレットを提供している。

このツールは、暗号資産ウォレットを持たない新規ユーザーがPolymarketのようなプラットフォームにアクセスできるようにしている。ユーザーは、フィッシングメールを受け取らずにMagic Labsを利用して作成されたアカウントが影響を受けたと主張している。

一方、Polymarketは提供者の身元を確認していない。ただし、同社は脆弱性が自社のコアインフラ外から発生したと述べている。Polymarketは、この問題は内部システムではなく第三者のログイン提供者に起因すると強調した。

Polymarketは修正を確認し、詳細を非公開

PolymarketのDiscordで共有された声明によると、同社は脆弱性を特定し修正したという。プラットフォームは、この問題は「少数のユーザー」に影響し、継続的なリスクはないと確認した。Polymarketは、影響を受けたユーザーに直接連絡すると付け加えた。

しかし、Polymarketは影響を受けたアカウント数や総資金の損失額については開示しなかった。Magic Labsもメディアからの問い合わせには応じていない。特に、これは2024年後半にGoogleベースのログインに関する類似のユーザーレポートに続くものである。