第三方认证漏洞致Polymarket用户资金失踪 暴露Web3登录基础设施风险

事件概況：認證層失守，數百萬資金遭竊

2025年12月24日，Polymarket官方確認平台遭遇大規模帳戶入侵事件。此次事件的根源並非智能合約攻擊，而是第三方認證服務供應商引入的安全缺陷。大批用戶反映帳戶餘額在未授權情況下被轉移，部分用戶的USDC持倉更是瞬間被清空並自動平倉。

事件最早於2025年12月22日在X、Reddit和Discord等社交平台曝光。用戶投訴稱在經歷多次登入嘗試後，帳戶資金神祕消失。一位受害者稱其餘額從正常狀態驟降至$0.01，另有用戶反映即使啟用電子郵件雙重驗證也未能阻止被盜。

第三方認證成為加密生態的脆弱節點

Polymarket未披露涉事第三方供應商名稱或被竊資金總額，但用戶報告指向Magic Labs等常見電子郵件登入方案。該公司在Discord頻道表示已識別並修復問題，目前風險已消除。然而，Polymarket強調這是「孤立事件」、「僅影響少數用戶」的說法引發質疑。

關鍵問題在於：為追求用戶快速上手，許多DeFi平台依賴第三方身份驗證、錢包服務與登入系統。當一家供應商的安全防線被攻破，連鎖反應可能波及多個生態應用。這種架構特性將潛在風險從智能合約層轉移至身份認證層——一個往往被忽視但同樣致命的薄弱點。

電子郵件錢包登入的隱藏危機

基於電子郵件的「magic link」登入方式因其易用性而廣受歡迎。平台在用戶註冊時為其創建非託管Ethereum錢包，降低了加密新手的入場門檻。但代價是供應商仍掌控登入恢復流程的核心機制。

受害用戶表示未點擊任何可疑連結，資金卻遭盜。這說明攻擊不是通過傳統釣魚，而是直接通過第三方認證服務的後端漏洞。一旦攻擊者突破該層防線，便可模擬合法用戶身份，進而授權轉帳或清算持倉——無需用戶介入。

歷史借鑑：結構性風險的重複出現

此次事件並非孤例。2024年9月，Polymarket曾爆發涉及Google登入方式的類似入侵。當時攻擊者利用「proxy」函數調用將USDC轉至釣魚地址，Polymarket將其定性為第三方認證相關的定向攻擊。

2025年11月，評論區詐騙也對平台造成衝擊。詐騙者張貼偽裝連結誘導用戶輸入電子郵件登入資訊，導致超$500,000損失。這一系列事件共同指向同一結論：認證及會話管理已成為高價值攻擊目標，而平台對此的防禦投入明顯不足。

深層反思：第三方依賴的代價

Polymarket至今未發布技術事後分析或完整事件時間線，也未透露補償計畫。受影響用戶開始轉向直接錢包連接（如MetaMask），儘管這對新手並不友好。

這個事件強化了加密生態的一個痛點真相：為了改善用戶體驗，協議層越來越依賴第三方服務——它們本應是輔助工具，卻逐漸成為系統單點失效風險。而當這些關鍵路徑遭受入侵時，再完美的智能合約也無法保護用戶資金。

對整個行業而言，第三方認證漏洞的威脅已不亞於協議漏洞。Polymarket需要的不僅是技術補丁，更是徹底重新評估其生態依賴鏈，確保第三方供應商的安全標準與自身需求相匹配。