分散型アプリケーションのセクターは、新規ユーザーの参入のしやすさに依存しています。そのため、多くのプラットフォームは外部の認証およびウォレットプロバイダーを統合しています。このようなアーキテクチャは登録を加速させますが、同時に新たな攻撃ベクトルも生み出しています。最近のPolymarketでの出来事は、保護されたプロトコルであっても、アクセスレベルのオペレーティングシステムに脆弱性が存在し得ることを示しています。## 以前のインシデントから12月の危機まで:システムにおける規則性Polymarketは、アクセスレベルのセキュリティ問題に初めて直面したわけではありません。2024年9月、ユーザーはGoogle認証の脆弱性を悪用した不正なUSDC送金を報告しました。攻撃者は「proxy」関数の呼び出しを利用して資金をフィッシングアドレスにリダイレクトしていました。当時、プラットフォームはこのインシデントを、第三者の認証サービスに対する標的型攻撃とみなしていました。2025年11月には、もう一つの波が訪れました。詐欺師はプラットフォームのコメント欄に偽装リンクを掲載し、ユーザーを偽のページに誘導してメールアドレス情報を奪取しようとしました。被害額は50万ドルを超えました。これは、技術だけでなく行動面にも広がるシステム的な問題を示していました。2025年12月24日、Polymarketは再び第三者認証に関わる新たなセキュリティ対策を発表しました。攻撃者は、ログインサービスの脆弱性を突いて限定的なアカウントにアクセスできました。企業は具体的なプロバイダー名を明かしませんでしたが、RedditやDiscordのユーザーはMagic Labsを登録時の一般的な入口として指摘していました。## 攻撃のメカニズム:メールウォレットが標的にPolymarketのユーザーは、最近「magic link」経由のログインを選ぶことが増えています。これは、メールに送信されるユニークなリンクを使った認証方法です。この方法は、ブラウザの拡張機能を管理したくない初心者や、シードフレーズを保存したくないユーザーに人気です。メールウォレットのプロバイダーは、登録時に自動的に非カストディアルのEthereumウォレットを作成します。しかし、セキュリティの連鎖は、認証、リカバリー、セッション管理のいくつかの重要な段階でプロバイダーに依存しています。これらのいずれかが侵害されると、ウォレット全体が危険にさらされることになります。被害者は、確認の兆候なしに突然残高を失ったと報告しています。あるユーザーは、3回のログイン試行の後、残高が0.01ドルにまで減少したと述べました。別のユーザーは、メールによる二要素認証も、攻撃者が管理するアドレスへのUSDCの直接送金を止められなかったと指摘しています。プラットフォーム上のポジションは、明示的な指示なしに自動的にクローズされました。## Web3のシステムリスク:スマートコントラクトが主要な問題ではないときこの出来事は、プロトコルのセキュリティからインテグレーションのセキュリティへの焦点を移しています。Polymarketは、メインのプロトコルは安全性が保たれていると公式に声明を出しました。問題は認証スタックに限定されていたとし、修正は既に展開済みであり、現行のリスクは解消されたと述べています。しかし、これはWeb3のアーキテクチャに深い疑問を投げかけます。多くのオンボーディングソリューションは、中央集権的な入口点に依存しています。認証プロバイダーに脆弱性がある場合、多数の分散型アプリのユーザーが同時に危険にさらされる可能性があります。その結果、認証やウォレット管理の第三者サービスは、しばしば最も脆弱なリンクとなっています。ユーザーは、代替案について積極的に議論し始めています。大きな残高を持つウォレットには直接接続し、中間のプロバイダーを避ける動きや、アクティビティの検証のためにウォレットのアドレスを公開するなどの方法です。## エコシステムの未来への教訓Polymarketは、インシデントの詳細な技術分析を公開していません。盗まれた資金の規模や被害者の数、補償計画についても不明です。この透明性の欠如は、市場の不確実性を高めています。しかし、この事件はより広範な問題に光を当てています。暗号エコシステムでは、オンボーディングは二の次とみなされ、スマートコントラクトやプロトコルに焦点が当てられがちです。しかし、実際には、ユーザーが分散型サービスと接触する入口点こそが脆弱なポイントです。第三者プロバイダーの役割を見直し、そのセキュリティ基準を強化しない限り、同様のインシデントは繰り返される可能性があります。
第三者認証が暗号プラットフォームの弱点になる理由:Polymarketの学習資料
分散型アプリケーションのセクターは、新規ユーザーの参入のしやすさに依存しています。そのため、多くのプラットフォームは外部の認証およびウォレットプロバイダーを統合しています。このようなアーキテクチャは登録を加速させますが、同時に新たな攻撃ベクトルも生み出しています。最近のPolymarketでの出来事は、保護されたプロトコルであっても、アクセスレベルのオペレーティングシステムに脆弱性が存在し得ることを示しています。
以前のインシデントから12月の危機まで:システムにおける規則性
Polymarketは、アクセスレベルのセキュリティ問題に初めて直面したわけではありません。2024年9月、ユーザーはGoogle認証の脆弱性を悪用した不正なUSDC送金を報告しました。攻撃者は「proxy」関数の呼び出しを利用して資金をフィッシングアドレスにリダイレクトしていました。当時、プラットフォームはこのインシデントを、第三者の認証サービスに対する標的型攻撃とみなしていました。
2025年11月には、もう一つの波が訪れました。詐欺師はプラットフォームのコメント欄に偽装リンクを掲載し、ユーザーを偽のページに誘導してメールアドレス情報を奪取しようとしました。被害額は50万ドルを超えました。これは、技術だけでなく行動面にも広がるシステム的な問題を示していました。
2025年12月24日、Polymarketは再び第三者認証に関わる新たなセキュリティ対策を発表しました。攻撃者は、ログインサービスの脆弱性を突いて限定的なアカウントにアクセスできました。企業は具体的なプロバイダー名を明かしませんでしたが、RedditやDiscordのユーザーはMagic Labsを登録時の一般的な入口として指摘していました。
攻撃のメカニズム:メールウォレットが標的に
Polymarketのユーザーは、最近「magic link」経由のログインを選ぶことが増えています。これは、メールに送信されるユニークなリンクを使った認証方法です。この方法は、ブラウザの拡張機能を管理したくない初心者や、シードフレーズを保存したくないユーザーに人気です。メールウォレットのプロバイダーは、登録時に自動的に非カストディアルのEthereumウォレットを作成します。
しかし、セキュリティの連鎖は、認証、リカバリー、セッション管理のいくつかの重要な段階でプロバイダーに依存しています。これらのいずれかが侵害されると、ウォレット全体が危険にさらされることになります。
被害者は、確認の兆候なしに突然残高を失ったと報告しています。あるユーザーは、3回のログイン試行の後、残高が0.01ドルにまで減少したと述べました。別のユーザーは、メールによる二要素認証も、攻撃者が管理するアドレスへのUSDCの直接送金を止められなかったと指摘しています。プラットフォーム上のポジションは、明示的な指示なしに自動的にクローズされました。
Web3のシステムリスク:スマートコントラクトが主要な問題ではないとき
この出来事は、プロトコルのセキュリティからインテグレーションのセキュリティへの焦点を移しています。Polymarketは、メインのプロトコルは安全性が保たれていると公式に声明を出しました。問題は認証スタックに限定されていたとし、修正は既に展開済みであり、現行のリスクは解消されたと述べています。
しかし、これはWeb3のアーキテクチャに深い疑問を投げかけます。多くのオンボーディングソリューションは、中央集権的な入口点に依存しています。認証プロバイダーに脆弱性がある場合、多数の分散型アプリのユーザーが同時に危険にさらされる可能性があります。その結果、認証やウォレット管理の第三者サービスは、しばしば最も脆弱なリンクとなっています。
ユーザーは、代替案について積極的に議論し始めています。大きな残高を持つウォレットには直接接続し、中間のプロバイダーを避ける動きや、アクティビティの検証のためにウォレットのアドレスを公開するなどの方法です。
エコシステムの未来への教訓
Polymarketは、インシデントの詳細な技術分析を公開していません。盗まれた資金の規模や被害者の数、補償計画についても不明です。この透明性の欠如は、市場の不確実性を高めています。
しかし、この事件はより広範な問題に光を当てています。暗号エコシステムでは、オンボーディングは二の次とみなされ、スマートコントラクトやプロトコルに焦点が当てられがちです。しかし、実際には、ユーザーが分散型サービスと接触する入口点こそが脆弱なポイントです。第三者プロバイダーの役割を見直し、そのセキュリティ基準を強化しない限り、同様のインシデントは繰り返される可能性があります。