Polymarket账户泄露 聚焦第三方登录风险

来源：CryptoTale 原始标题：Polymarket账户泄露聚焦第三方登录风险 原始链接：https://cryptotale.org/polymarket-account-drains-spotlight-third-party-login-risk/

• Polymarket用户账户被黑追踪到第三方认证，而非协议漏洞。
• 基于电子邮件的钱包注册实现了账户泄露，无需智能合约漏洞。
• 事件凸显Web3系统性风险，第三方登录服务成为潜在故障点。

Polymarket表示，攻击者在利用第三方登录服务的漏洞后，窃取了少量用户账户。用户描述在多次登录提醒后突然余额减少并关闭了持仓。Polymarket于2025年12月24日确认了该事件，并表示已修复问题。

2025年12月22日和23日，相关报道在社交媒体平台上出现。一位用户报告了三次登录尝试，随后余额变为$0.01。另一位用户也报告了类似的提醒，并表示电子邮件两步验证未能阻止资金被盗。

第三方认证使注册成为共同薄弱环节

Polymarket表示，第三方认证提供商引入了该漏洞。公司在其官方Discord频道发布声明，称已识别问题并已解决。Polymarket描述此次事件影响的用户数量很少。

Polymarket未披露第三方提供商的名称，也未公布被盗资金总额。然而，平台表示其核心协议仍然安全，问题仅限于认证环节。它还表示，修复措施已消除持续的风险，并将联系受影响用户。

这种说法将关注点从市场机制转向加密注册流程。许多平台依赖外部身份、钱包和登录服务以实现更快的注册。因此，一个提供商的弱点可能会影响多个应用中的用户。

电子邮件钱包登录增加嵌入式钱包访问的风险

用户帖子显示，许多受影响账户使用基于电子邮件的“魔术链接”访问，而非直接连接钱包。多份报告指出Magic Labs是常见的注册途径，尽管Polymarket尚未确认这一链接。用户还表示在资金被盗前没有点击可疑链接。

基于电子邮件的钱包提供商通常在注册时创建非托管的以太坊钱包。这种设置吸引首次使用加密货币的用户，他们不管理扩展或助记词。然而，提供商仍控制登录和恢复流程的关键部分。

Polymarket用户描述USDC余额在未明确授权的情况下被盗。报告还提到在未经授权的访问后，持仓迅速关闭。因此，此事件凸显了账户安全在智能合约层之上的潜在失效。

过去的Polymarket事件显示访问层的压力

此次漏洞呼应了2024年9月的早期用户报告，涉及基于Google的登录。用户描述钱包被盗，攻击者使用“代理”功能调用，将USDC资金转移到钓鱼地址，据用户描述。

当时，Polymarket将这些事件视为可能与第三方认证相关的定向攻击。这个历史很重要，因为它指向相同的结构性风险。认证和会话系统可能成为高影响的攻击目标。

2025年11月，又出现了另一种威胁，骗子利用Polymarket的评论区进行攻击。用户报告在攻击者发布伪装链接后，损失超过50万美元。这些链接引导受害者访问钓鱼页面，窃取电子邮件登录信息。

2025年12月的事件再次聚焦于集成风险，而非结算失败。Polymarket尚未发布技术事后分析或完整的事件时间线，也未说明是否会赔偿用户损失。

与此同时，用户在公开讨论中比较登录方式并分享钱包地址。一些用户转向直接连接钱包以获得更高余额。这一事件强化了对加密注册流程的更广泛结论：第三方身份和钱包链路如今处于关键路径上，可能成为生态系统中最脆弱的环节。