Polymarket账户泄露事件牵出第三方登录漏洞

币圈网报道：预测市场 Polymarket 近期遭遇严重安全事件，多位用户报告账户异常，资金被清空。平台已确认问题源于一家未公开的第三方登录服务提供商，该漏洞导致用户在未入侵设备的情况下仍遭遇账户被盗。

事件背景：多平台用户遭无差别攻击

社交媒体平台 Reddit 与 X 上出现大量用户投诉，称收到意外登录提醒后发现账户余额归零。一位用户表示，其设备未受感染，其他账户也正常，但 Polymarket 账户仅剩一美分；另一位用户虽启用了双重身份验证，仍损失约 2000 美元。另有报告称“前 1000 名”账户及测试账户亦被清空，显示攻击具备一定系统性。

技术根源：第三方身份验证服务成突破口

尽管 Polymarket 未指明具体供应商，但多名用户指出，问题可能与 Magic Labs 相关。这是一款支持邮箱一键注册并自动创建钱包的工具，广泛用于新手接入 Polymarket 及其他去中心化平台。因其便利性，成为热门入口，但也因此成为攻击目标。

平台回应：漏洞已修复，影响范围待定

Polymarket 官方在 Discord 频道发布声明称：“我们近期发现并解决了一个影响少量用户的安全问题。该问题由第三方身份验证提供商引入的漏洞引起。目前该问题已修复，不存在持续风险，我们将主动联系受影响用户。”但公司未透露具体受影响人数或被盗金额。

专家观点：身份验证环节成新风险点

业内安全分析师指出，随着去中心化应用普及，依赖第三方登录服务的模式正在放大攻击面。即使用户启用双重验证，若底层身份认证机制存在缺陷，仍可能导致资产丢失。此次事件凸显了“资产存储”环节的脆弱性，尤其在 Layer2 和跨链生态快速扩张的背景下，安全审查需前置。

未来展望：行业将加强第三方服务审计

随着市场趋势向简化用户体验倾斜，此类工具的使用率将持续上升。然而，本次事件或将促使更多平台对合作的身份验证服务进行严格审计，推动建立统一的安全标准。对于投资者而言，应警惕“便捷”背后的潜在风险，避免过度依赖单一入口，同时强化自身资产存储策略。