Polymarket 遭第三方授权漏洞攻击，用户资金损失

• 第三方认证漏洞绕过了Polymarket的双因素保护，导致未授权的账户访问和提款。
• 用户报告余额被清空，包括一些顶级账户，部分用户损失数千美元，尽管没有设备被攻破。
• Polymarket修复了该漏洞，并将联系受影响的用户，但总损失和账户数量尚未披露。

Polymarket本周确认发生了安全漏洞，用户报告账户被清空以及平台上的可疑登录活动。事件发生在Polymarket的预测市场平台上，相关报道于星期二在Reddit和X上出现。根据公司介绍，第三方认证漏洞绕过了双因素保护，导致未授权访问和资金提取。

用户报告引发平台响应

值得注意的是，用户在收到与其Polymarket账户相关的意外登录提醒后开始举报问题。一些用户报告在余额消失前有多次登录尝试。

一位Reddit用户表示，他们的账户余额在一夜之间降至$0.01，尽管没有设备被攻破。另一位X用户报告损失约$2,000，即使启用了双因素认证。

然而，相关报告并未局限于某一平台。其他X用户表示攻击者清空了高排名账户和测试账户。一位用户声称他们的“前1000名”Polymarket账户已被完全清空。随着这些报告的传播，用户开始质疑攻击者是如何绕过现有安全层的。

第三方登录工具受到关注

随着关注点转向认证方式，部分用户指出Magic Labs可能是问题源头。Magic Labs提供基于电子邮件的登录服务，并为用户自动生成钱包。

该工具允许没有加密货币钱包的新手用户访问像Polymarket这样的平台。用户声称受影响的账户是通过Magic Labs创建的，尽管没有收到钓鱼邮件。

与此同时，Polymarket未确认该提供商的身份。但公司表示漏洞源自其核心基础设施之外。Polymarket强调，问题出在第三方登录提供商，而非内部系统。

Polymarket确认修复，暂不披露细节

根据在Polymarket的Discord上分享的声明，公司已识别并修复了该漏洞。平台表示该问题影响了“少数用户”，并确认没有持续的风险。Polymarket补充说会直接联系受影响的用户。

然而，Polymarket未披露受影响的账户数量或总损失资金数额。Magic Labs也未回应媒体询问。值得注意的是，这与2024年末涉及Google登录的类似用户报告相呼应。