## 事件概況:認證層失守,數百萬資金遭竊2025年12月24日、Polymarket公式はプラットフォームが大規模なアカウント侵害事件に遭ったことを確認しました。今回の事件の根本原因はスマートコントラクトの攻撃ではなく、サードパーティ認証サービス提供者によるセキュリティの脆弱性にあります。多くのユーザーから、アカウント残高が無許可で移転されたとの報告があり、一部のユーザーのUSDC保有量は瞬時に空になり、自動的にポジションが清算されました。この事件は2025年12月22日にX、Reddit、Discordなどのソーシャルプラットフォームで最初に暴露されました。ユーザーは複数回のログイン試行後にアカウント資金が神秘的に消失したと訴えています。被害者の一人は残高が正常時から$0.01に急落したと述べ、別のユーザーはメールの二要素認証を有効にしても盗難を防げなかったと報告しています。## サードパーティ認証が暗号エコシステムの脆弱なポイントにPolymarketは関与したサードパーティの提供者名や盗まれた資金の総額を公表していませんが、ユーザーの報告はMagic Labsなどの一般的なメールログインソリューションを指しています。同社はDiscordチャンネルで問題を特定し修正したと述べており、現時点でリスクは解消されたとしています。しかし、Polymarketはこれが「孤立した事件」であり「少数のユーザーにのみ影響した」との説明に対して疑問の声も上がっています。重要なポイントは、ユーザーの迅速な操作性を追求するため、多くのDeFiプラットフォームがサードパーティの認証、ウォレットサービス、ログインシステムに依存していることです。ある提供者のセキュリティが破られると、連鎖的に複数のエコシステムアプリケーションに影響が及ぶ可能性があります。この構造の特性は、潜在的なリスクをスマートコントラクト層から認証層へと移行させるものであり、これはしばしば見落とされがちですが、同じく致命的な脆弱点です。## メールウォレットログインの隠れた危険性メールを基盤とした「magic link」ログイン方式は、その使いやすさから広く採用されています。プラットフォームはユーザー登録時に非管理型のEthereumウォレットを作成し、暗号初心者の参入障壁を下げています。しかし、その代償として、提供者は依然としてログイン復旧の核心メカニズムを掌握しています。被害者は、疑わしいリンクをクリックしていないにもかかわらず資金が盗まれたと述べています。これは攻撃が従来のフィッシングを通じてではなく、直接サードパーティ認証サービスのバックエンドの脆弱性を突いたものであることを示しています。攻撃者がこの防御層を突破すると、合法的なユーザーの身分を模倣し、承認された送金やポジションの清算を行うことが可能となり、ユーザーの介入は不要です。## 歴史から学ぶ:構造的リスクの繰り返し今回の事件は孤立した例ではありません。2024年9月、PolymarketはGoogleログイン方式に関わる類似の侵害を経験しています。当時、攻撃者は「proxy」関数呼び出しを利用してUSDCをフィッシングアドレスに送金し、Polymarketはこれをサードパーティ認証に関連したターゲット攻撃と位置付けました。2025年11月には、コメント欄の詐欺もプラットフォームに打撃を与えました。詐欺師は偽装したリンクを投稿し、ユーザーにメールログイン情報の入力を誘導し、50万ドル超の損失を引き起こしました。これら一連の事件は、認証とセッション管理が高価値の攻撃ターゲットとなっていることを示しており、プラットフォームの防御投資が明らかに不足していることも浮き彫りになっています。## 深層的な反省:サードパーティ依存の代償Polymarketはこれまでに技術的な事後分析や完全な事件のタイムラインを公開しておらず、補償計画も明らかにしていません。影響を受けたユーザーは、MetaMaskなどの直接ウォレット接続に切り替え始めていますが、これは初心者にはあまり優しくありません。この事件は、暗号エコシステムの痛点の一つを強調しています。それは、ユーザー体験を改善するために、プロトコル層がますますサードパーティサービスに依存していることです。これらは本来補助的なツールであるべきですが、次第にシステムの単一点障害となりつつあります。そして、これらの重要な経路が侵害された場合、最も洗練されたスマートコントラクトであってもユーザー資金を守ることはできません。業界全体にとって、サードパーティ認証の脆弱性はプロトコルの脆弱性に匹敵する脅威となっています。Polymarketは単なる技術的修正だけでなく、そのエコシステムの依存関係を徹底的に見直し、サードパーティ提供者のセキュリティ基準と自社のニーズを一致させる必要があります。
サードパーティ認証の脆弱性によりPolymarketユーザーの資金が失踪 Web3ログインインフラのリスクが露呈
事件概況:認證層失守,數百萬資金遭竊
2025年12月24日、Polymarket公式はプラットフォームが大規模なアカウント侵害事件に遭ったことを確認しました。今回の事件の根本原因はスマートコントラクトの攻撃ではなく、サードパーティ認証サービス提供者によるセキュリティの脆弱性にあります。多くのユーザーから、アカウント残高が無許可で移転されたとの報告があり、一部のユーザーのUSDC保有量は瞬時に空になり、自動的にポジションが清算されました。
この事件は2025年12月22日にX、Reddit、Discordなどのソーシャルプラットフォームで最初に暴露されました。ユーザーは複数回のログイン試行後にアカウント資金が神秘的に消失したと訴えています。被害者の一人は残高が正常時から$0.01に急落したと述べ、別のユーザーはメールの二要素認証を有効にしても盗難を防げなかったと報告しています。
サードパーティ認証が暗号エコシステムの脆弱なポイントに
Polymarketは関与したサードパーティの提供者名や盗まれた資金の総額を公表していませんが、ユーザーの報告はMagic Labsなどの一般的なメールログインソリューションを指しています。同社はDiscordチャンネルで問題を特定し修正したと述べており、現時点でリスクは解消されたとしています。しかし、Polymarketはこれが「孤立した事件」であり「少数のユーザーにのみ影響した」との説明に対して疑問の声も上がっています。
重要なポイントは、ユーザーの迅速な操作性を追求するため、多くのDeFiプラットフォームがサードパーティの認証、ウォレットサービス、ログインシステムに依存していることです。ある提供者のセキュリティが破られると、連鎖的に複数のエコシステムアプリケーションに影響が及ぶ可能性があります。この構造の特性は、潜在的なリスクをスマートコントラクト層から認証層へと移行させるものであり、これはしばしば見落とされがちですが、同じく致命的な脆弱点です。
メールウォレットログインの隠れた危険性
メールを基盤とした「magic link」ログイン方式は、その使いやすさから広く採用されています。プラットフォームはユーザー登録時に非管理型のEthereumウォレットを作成し、暗号初心者の参入障壁を下げています。しかし、その代償として、提供者は依然としてログイン復旧の核心メカニズムを掌握しています。
被害者は、疑わしいリンクをクリックしていないにもかかわらず資金が盗まれたと述べています。これは攻撃が従来のフィッシングを通じてではなく、直接サードパーティ認証サービスのバックエンドの脆弱性を突いたものであることを示しています。攻撃者がこの防御層を突破すると、合法的なユーザーの身分を模倣し、承認された送金やポジションの清算を行うことが可能となり、ユーザーの介入は不要です。
歴史から学ぶ:構造的リスクの繰り返し
今回の事件は孤立した例ではありません。2024年9月、PolymarketはGoogleログイン方式に関わる類似の侵害を経験しています。当時、攻撃者は「proxy」関数呼び出しを利用してUSDCをフィッシングアドレスに送金し、Polymarketはこれをサードパーティ認証に関連したターゲット攻撃と位置付けました。
2025年11月には、コメント欄の詐欺もプラットフォームに打撃を与えました。詐欺師は偽装したリンクを投稿し、ユーザーにメールログイン情報の入力を誘導し、50万ドル超の損失を引き起こしました。これら一連の事件は、認証とセッション管理が高価値の攻撃ターゲットとなっていることを示しており、プラットフォームの防御投資が明らかに不足していることも浮き彫りになっています。
深層的な反省:サードパーティ依存の代償
Polymarketはこれまでに技術的な事後分析や完全な事件のタイムラインを公開しておらず、補償計画も明らかにしていません。影響を受けたユーザーは、MetaMaskなどの直接ウォレット接続に切り替え始めていますが、これは初心者にはあまり優しくありません。
この事件は、暗号エコシステムの痛点の一つを強調しています。それは、ユーザー体験を改善するために、プロトコル層がますますサードパーティサービスに依存していることです。これらは本来補助的なツールであるべきですが、次第にシステムの単一点障害となりつつあります。そして、これらの重要な経路が侵害された場合、最も洗練されたスマートコントラクトであってもユーザー資金を守ることはできません。
業界全体にとって、サードパーティ認証の脆弱性はプロトコルの脆弱性に匹敵する脅威となっています。Polymarketは単なる技術的修正だけでなく、そのエコシステムの依存関係を徹底的に見直し、サードパーティ提供者のセキュリティ基準と自社のニーズを一致させる必要があります。