Polymarket帳戶被盜 Spotlight第三方登入風險

資料來源：CryptoTale 原文標題：Polymarket帳戶被盜聚焦第三方登入風險 原文連結：https://cryptotale.org/polymarket-account-drains-spotlight-third-party-login-risk/

• Polymarket用戶帳戶被盜追蹤到第三方認證，而非協議漏洞。
• 基於電子郵件的錢包註冊使帳戶在沒有智能合約漏洞的情況下被盜。
• 事件凸顯Web3系統性風險，因為第三方登入服務成為潛在失效點。

Polymarket表示，攻擊者在利用第三方登入服務的漏洞後，盜取了少數用戶帳戶。用戶描述在多次登入警示後，突然出現餘額損失和平倉。Polymarket於2025年12月24日確認此事件，並表示已修復問題。

相關報導於2025年12月22日和12月23日在社交媒體平台上浮出水面。一位用戶報告了三次登入嘗試，隨後餘額變為$0.01。另一位用戶則報告類似的警示，並表示電子郵件雙重認證未能阻止資金被盜。

第三方認證成為註冊流程的共同弱點

Polymarket表示，第三方認證提供商引入了此漏洞。該公司在其官方Discord頻道上表示已識別問題並已解決。Polymarket描述此事件影響範圍很小。

Polymarket未透露第三方提供商的名稱，也未公布被盜資金總額。然而，平台表示其核心協議仍然安全，問題僅限於認證層面。它還表示修復措施已消除持續的風險，並將聯繫受影響的用戶。

此說法將焦點從市場機制轉向加密貨幣註冊流程堆疊。許多平台依賴外部身份、錢包和登入服務來加快註冊流程。因此，一個提供商的弱點可能會影響多個應用中的用戶。

電子郵件錢包登入增加嵌入式錢包存取的風險

用戶貼文指出，許多受影響的帳戶使用電子郵件「魔術連結」存取，而非直接連結錢包。多份報告指出Magic Labs是常見的註冊途徑，儘管Polymarket尚未確認此連結。用戶也表示在資金被盜前沒有點擊可疑連結。

電子郵件錢包提供商通常在註冊時建立非托管的以太坊錢包。這種設置吸引首次加密貨幣用戶，因為他們不管理擴展或種子短語。然而，提供商仍控制登入和恢復流程的關鍵部分。

Polymarket用戶描述USDC餘額在未經授權的情況下被盜，且沒有明確的授權信號。報告還描述在未經授權存取後，持倉迅速平倉。因此，此事件凸顯帳戶安全在智能合約層之上的失效風險。

過去Polymarket事件顯示存取層的壓力

此漏洞呼應2024年9月的早期用戶報告，涉及Google登入的安全事件。用戶描述攻擊者利用「代理」功能調用，導致錢包資金被轉移到釣魚地址。

當時，Polymarket將這些事件視為可能與第三方認證相關的定向攻擊。這段歷史很重要，因為它指向相同的結構性風險。認證和會話系統可能成為高影響的攻擊目標。

另一個威脅在2025年11月浮現，詐騙者利用Polymarket的留言區進行攻擊。用戶報告損失超過50萬美元，攻擊者發布偽裝連結，誘使受害者前往詐騙頁面，竊取電子郵件登入資訊。

2025年12月的事件再次聚焦於整合風險，而非結算失敗。Polymarket尚未發布技術事後分析或完整事件時間線，也未表示是否會賠償用戶損失。

同時，用戶在公開討論串中比較登入方式並分享錢包地址。有些用戶轉向直接錢包連結以獲得較高餘額。這一事件強化了對加密貨幣註冊流程的更廣泛結論：第三方身份和錢包系統如今位於關鍵路徑上，可能成為整個生態系統中最脆弱的點。