Polymarket 帳戶遭駭事件:第三方供應商成資安漏洞主因
去中心化預測市場平台 Polymarket 近期爆發多起用戶帳戶異常登入與資金異動事件,引發社群高度關注。經過內部調查後,Polymarket 官方公開指出,此次安全事件的根源並非平台本身,而是由其合作的第三方身分驗證與帳戶管理服務提供商所導致。
事件始末與官方回應
根據 Polymarket 團隊於社交媒體與官方部落格發布的聲明,自 2024 年初以來,陸續有用戶反映其帳戶出現未經授權的操作,包括預測市場下注異常、錢包連接被篡改,甚至部分用戶的加密資產遭轉移。
「我們確認本次帳戶入侵事件源於我們所使用的第三方帳戶驗證服務存在安全漏洞,而非 Polymarket 核心合約或前端程式碼遭破解。」團隊強調,所有涉及的第三方服務皆為用於簡化使用者登入流程(例如透過電子郵件或社交帳號快速註冊),而未直接存取用戶的私鑰或錢包控制權。然而,攻擊者透過該第三方平台取得帳戶控制權後,得以繞過部分安全檢查,進而操作已連結的錢包。
第三方供應商的角色與風險
什麼是「帳戶抽象化」服務?
Polymarket 採用的第三方供應商主要提供「帳戶抽象化」(Account Abstraction)解決方案,讓用戶無需管理私鑰即可使用 Web3 應用。此類服務雖提升用戶體驗,卻也引入新的信任假設與攻擊面。
潛在資安隱患
- 集中式登入憑證儲存:若供應商資料庫遭入侵,大量帳戶可能同時受影響。
- 會話劫持風險:攻擊者可利用盜取的登入 Token 冒充合法用戶。
- 缺乏透明度:多數第三方服務為閉源,安全審計難以獨立驗證。
值得注意的是,Polymarket 表示已立即終止與涉事供應商的合作關係,並建議所有曾使用電子郵件快速登入功能的用戶重設帳戶、重新驗證裝置,並啟用額外的雙因素認證(2FA)。
用戶如何自我防護?
儘管平台承擔部分責任,但 Web3 使用者仍需主動採取措施降低風險:
- 避免使用第三方快速登入:優先選擇直接連接錢包(如 MetaMask、WalletConnect)進行操作。
- 定期檢查已授權應用:透過 Etherscan 或 Revoke.cash 撤銷不再使用的合約權限。
- 啟用硬體錢包:對於高價值資產,使用 Ledger 或 Trezor 等離線簽署設備可大幅降低線上攻擊風險。
專家亦提醒,「便利性與安全性往往成反比」,在享受無密碼登入等新興功能時,務必評估潛在代價。
產業反思:去中心化與中心化組件的平衡
Polymarket 事件再次凸顯 Web3 生態中一個根本矛盾:即便底層區塊鏈高度去中心化,上層應用卻常依賴中心化的中介服務以提升可用性。下表簡要對比兩種架構的取捨:
| 特性 | 純錢包登入(去中心化) | 第三方快速登入(混合式) |
|---|---|---|
| 使用者門檻 | 高(需管理私鑰) | 低(類似傳統 App) |
| 資安控制權 | 完全由用戶掌握 | 部分委託給第三方 |
| 大規模駭客風險 | 極低(個別帳戶風險) | 高(單點故障影響廣泛) |
未來,開發者或需探索更安全的帳戶抽象標準(如 ERC-4337),在不犧牲去中心化精神的前提下,提供流暢的用戶體驗。
常見問題解答
我的 Polymarket 帳戶是否一定被盜?
不一定。僅使用「電子郵件註冊/登入」功能的帳戶受影響;若全程透過 MetaMask 等錢包直接連接,則未受此次漏洞波及。
我該如何檢查帳戶是否遭入侵?
登入 Polymarket 後,前往「帳戶設定」查看近期活動記錄,並至 Etherscan 檢查錢包是否有未授權交易。若有異常,立即撤銷所有第三方合約權限。
Polymarket 會賠償用戶損失嗎?
截至公告發布,Polymarket 尚未承諾全額賠償,但表示正與第三方供應商及保險合作方評估補救方案。建議受影響用戶保留交易紀錄並聯繫客服申報。
什麼是 ERC-4337?它能解決此類問題嗎?
ERC-4337 是一種免需中心化中繼器的帳戶抽象協議,允許用戶以社交復原、多簽等方式管理錢包,同時保持交易簽署的去中心化。若正確實作,可減少對第三方登入服務的依賴。
現在還能安全使用 Polymarket 嗎?
可以,但強烈建議停用舊有電子郵件帳戶,改用全新錢包地址重新註冊,並啟用雙因素驗證。同時避免在同一錢包存放大量資產進行預測市場操作。
