Polymarket 承認用戶資金遭竊，「一鍵登入」第三方服務成破口

Polymarket 聖誕前夕爆出資金遭竊，漏洞源自第三方錢包服務 Magic Labs，突顯 Web3 便利性背後的單點風險。 （前情提要：預測市場龍頭 Polymarket 宣布自建 L2，Polygon 的王牌沒了？ ） （背景補充：如何通過 Polymarket 套利實現年化 40% 收益？ ）   加密預測市場龍頭 Polymarket 傳出資金遭竊，多名用戶在 12 月 24 日凌晨於 X 與 Reddit 狂怒「帳戶餘額被清空」。 平台旋即在官方 Discord 承認安全漏洞，並指向「第三方服務供應商」。鏈上追蹤工具 Lookonchain 隨後鎖定錢包服務業者 Magic Labs，讓這起事件成為 2025 年末最受關注的加密市場安全破口。 官方稱已修復，但仍有人擔心 用戶爆料後不到一小時，Polymarket 發布公告： 我們發現一個與第三方服務供應商相關的漏洞，目前已完成修復。受影響的用戶僅占極少數，我們將主動聯繫這些用戶。 公告未揭露損失金額與受害人數，卻引起了更大的恐慌。依照 Polymarket 2025 年的平台單月成交額，每月都是數十億美元估算，即便「極少數」也可能是高額損失。 不同於常見釣魚攻擊，事發當下沒有可疑連結流傳，許多受害者甚至啟用電子郵件 2FA。防線被繞過的關鍵，不在用戶端，而在後台的第三方認證。 Magic Labs 登入機制成為破口 Polymarket 為降低門檻，引入 Magic Labs 的「Email 一鍵生成非託管錢包」。用戶無需保管助記詞，寄送驗證碼即可操作以太坊資產。而攻擊者直接利用 Magic Labs 認證層的系統漏洞取得錢包控制權，2FA 等同無效。 目前鏈上流向顯示，駭客地址短時間內拆分資產並透過多層混幣，增加追查難度。官方雖稱「已經修復」，但尚未回應社群要求的完整事後報告。 與此同時，安全公司 SlowMist 警告 GitHub 出現惡意 Polymarket 跟單機器人，專門針對自建交易腳本的高階玩家。該程式會讀取本地配置檔並偷偷傳出私鑰，雖與 Magic Labs 漏洞無直接關聯，卻在同一天爆發。 相關報導 預測市場龍頭 Polymarket 宣布自建 L2，Polygon 的王牌沒了？ Coinbase收購預測市場新創The Clearing Company，深化「萬能交易所」佈局 〈Polymarket 承認用戶資金遭竊，「一鍵登入」第三方服務成破口〉。