2025年12月24日,去中心化预测市场平台Polymarket正式确认,平台上少量用户账户遭受资金被盗,主要原因是第三方身份验证服务商存在安全漏洞。该事件并非Polymarket核心智能合约或交易引擎被入侵,而是外部认证流程中的弱点被攻击者利用,导致部分用户资金被快速转移。
事件起因可以追溯到本周初
多名用户在X(前Twitter)、Reddit和Discord等社区报告异常情况。受害者描述称,他们收到多次登录尝试通知,但设备和邮箱并未被入侵,甚至开启了双因素认证(2FA)也未能阻止攻击。登录成功后,攻击者迅速关闭用户持仓,将账户余额清空至几乎为零(如仅剩0.01美元)。据用户反馈,受影响账户多为通过邮箱一键登录方式注册的,这些方式通常依赖第三方服务自动生成非托管以太坊钱包,便于新手入门。
Polymarket团队在官方Discord频道回应称:“我们最近发现并解决了影响少量用户的安全问题,该问题由第三方身份验证提供商引入的漏洞引起。目前漏洞已修复,无持续风险,我们将直接联系受影响用户。”平台强调,此次事件不涉及核心协议,智能合约和资金托管机制完好无损。但Polymarket未公开受影响用户数量、资金损失总额,也未指明具体第三方服务商。不过,社区广泛猜测涉及Magic Labs——一种流行邮箱登录工具,它允许用户无需管理私钥即可快速接入加密平台。
这并非Polymarket首次遭遇类似问题
早在2024年9月,曾有用户通过Google登录后资金被盗;11月则出现利用评论区钓鱼链接的攻击,导致超50万美元损失。此次事件再次凸显加密平台对第三方依赖的风险:便利性提升了用户门槛,但也引入了“供应链攻击”隐患。一旦外部服务商出现漏洞,整个生态都可能受波及。
作为区块链专家,我建议用户:优先使用硬件钱包或直接连接MetaMask等自托管方式登录;定期监控账户活动;避免单一依赖邮箱登录。对于平台方,应加强第三方审计、减少外部依赖,并考虑引入多重签名或社交恢复机制提升安全性。
此次Polymarket事件本质上是Web3平台在追求用户友好与安全之间的权衡失衡。第三方认证工具如Magic Labs极大降低了新手进入门槛,推动了预测市场的普及,但也暴露了中心化组件在去中心化生态中的脆弱性。攻击者绕过2FA直接获取会话,说明漏洞可能涉及认证流程的逻辑缺陷(如OTP暴力破解或会话劫持)。好在影响范围有限,平台响应及时,未造成系统性崩盘。这提醒整个行业:真正的去中心化安全不止于链上合约,还需覆盖所有入口。未来,更多平台可能转向纯自托管或零知识证明登录,以根除此类风险。
Polymarket资金被盗事件的原因是什么?
此次资金被盗的主要原因是第三方身份验证服务商存在安全漏洞,攻击者利用该漏洞绕过安全措施,快速转移部分用户资金。
此次事件是否涉及Polymarket的核心智能合约或资金托管机制?
不,官方确认此次事件没有影响到Polymarket的核心智能合约或资金托管机制,系统整体安全完好。
用户在此次事件中受到的具体影响有哪些?
受影响的用户多为通过邮箱一键登录注册者,账户余额几乎清零,部分用户仅剩极少的资产,如0.01美元,且设备和邮箱并未被入侵。
平台方如何回应此次安全事件?
Polymarket团队表示已发现并修复了影响少量用户的安全漏洞,将直接联系受影响用户,强调平台整体安全未受影响。
用户应采取哪些措施保障自己的账户安全?
用户应优先使用硬件钱包或自托管账户(如MetaMask)登录,定期监控账户活动,避免单一使用邮箱登录,同时平台也应加强对第三方服务的审计和多重安全措施。