醒来惊见帐户剩 0.01 美元！Polymarket 证实部分用户被盗、第三方漏洞所致

针对近期有用户遭骇客盗领资产的情形，去中心化预测市场平台 Polymarket 周二证实，入侵事件是因第三方身份验证服务商存在安全漏洞所致。

未点击钓鱼连结、启用双重验证　帐号却遭清空

这起资安事件从本周初开始发酵，不少用户在 Reddit 和 X 上发出求救贴文，详细描述了帐户资产不翼而飞的惨剧，其中一位用户在 Reddit 讨论区指出：

今天早上我一睁开眼，就看到手机显示有 3 次尝试登入 Polymarket 的通知。我的装置没有被盗、 Google 帐号也没异常，但当我赶快登入 Polymarket 查看时，发现所有交易都被平仓，帐户余额只剩下 0.01 美元。

留言板中另一位苦主也遭遇了相同模式的攻击：在收到 3 次登入警报后，帐户资金随即被洗劫一空。令人不安的是，这位用户强调自己从未点击任何钓鱼连结，甚至连电子邮件也启用了「双重验证（2FA）」，却依然挡不住骇客的毒手。

根据社群媒体上的受害者资料汇整，这次攻击似乎集中锁定透过 Magic Labs 注册 Polymarket 的用户。

Magic Labs 是专为加密货币「新手」设计的第三方登入与钱包服务。用户不需要具备复杂的私钥管理知识，使用电子邮件即可快速注册开户，系统会自动在后台生成一个「非托管式以太坊钱包」。

尽管 Magic Labs 让进入币圈的门槛变低了，但这次攻击显示，标榜便利的第三方验证服务，一旦出现资安漏洞，反而可能成为骇客入侵的捷径。

沉默数日后，Polymarket 周二终于在官方 Discord 频道中回应此事：

我们最近发现并解决了一个影响少部分用户的安全问题，这起事故是因第三方身分验证服务商的漏洞所致。

不过，Polymarket 并未说明具体受影响人数，也未揭露遭窃资金总额，同时也未点名涉事的第三方服务商。平台仅强调，相关漏洞已完成修补，目前未观察到任何持续性风险。

Polymarket 补充，将主动联系所有受影响用户，至于是否会全额赔偿用户损失，则有待进一步说明。