第三方驗證如何成為加密平台的薄弱環節：來自 Polymarket 的教學資料

去中心化應用程式領域依賴於新手的易入性。為達成此目標，許多平台整合了外部認證與錢包提供商。這種架構加快了註冊流程，但同時也創造了新的攻擊向量。近期在Polymarket的事件展示了即使是受保護的協議，也可能在存取層面存在漏洞。

從過去事件到12月危機：系統中的規律

Polymarket並非首次遇到存取層級的安全問題。2024年9月，用戶報告未經授權的USDC轉帳，利用Google認證的漏洞。攻擊者利用"proxy"函數調用，將資金轉移到釣魚地址。當時平台將此事件視為對第三方驗證服務的定向攻擊。

2025年11月，又出現一波攻擊——騙子在平台留言中放置隱藏連結，引導用戶至假冒頁面以截取電子郵件資料。損失超過$50萬美元。這反映出一個系統性問題，不僅影響技術層面，也涉及用戶行為。

2025年12月24日，Polymarket宣布推出新措施，涉及第三方認證。攻擊者成功利用登入服務的漏洞，取得部分帳戶存取權。公司未點名具體供應商，但Reddit與Discord用戶指向Magic Labs為註冊時常用的入口。

攻擊機制：當email錢包成為目標

Polymarket用戶越來越多選擇用"magic link"登入——即發送到電子郵件的唯一連結。此方法吸引不願管理瀏覽器擴展或保存種子短語的新手。email錢包提供商在註冊時會自動建立一個非托管的Ethereum錢包。

但安全鏈條在多個關鍵階段依賴提供商：登入驗證、帳戶恢復與會話管理。如果其中一個階段被攻破，整個錢包都可能受到威脅。

受害用戶描述在沒有明顯確認信號的情況下，餘額突然被轉走。一位用戶報告三次登入嘗試後，餘額降至$0.01。另一位則指出，電子郵件雙重認證未能阻止USDC直接轉出至攻擊者控制的地址。平台上的持倉也會在未經用戶明示指示下自動關閉。

Web3的系統性風險：智能合約並非唯一問題

此事件將焦點從協議安全轉向整合安全。Polymarket官方確認，核心協議仍然安全。問題僅限於驗證層。公司表示已部署修復措施，現有風險已被消除。

但這引發對Web3架構的深層疑問。多數onboarding方案依賴中心化的入口點。當一個認證提供商出現漏洞，便可能危及多個去中心化應用的用戶。結果是，驗證與錢包管理的第三方服務成為關鍵鏈條，往往也是最脆弱的。

用戶開始積極討論替代方案。有些轉向直接連接錢包以管理大額資產，避免中介提供商。另一些則在公開討論串中分享自己的錢包地址，以驗證其活動。

生態系的未來教訓

Polymarket尚未公布事件的詳細技術分析。被盜資金數量、受影響用戶數及補償計畫仍未明朗。這種缺乏透明度加劇了市場的不確定性。

然而，此事件揭示了一個更廣泛的問題。在加密生態系中，onboarding常被視為次要，焦點多放在智能合約與協議上。但正是入口點——用戶與去中心化服務接觸的地方——成為脆弱的核心。若不重新評估第三方提供商的角色並強化其安全標準，類似事件將持續重演。