Polymarketのユーザーが攻撃を受け、企業はパートナーの失敗を非難

ソース：PortaldoBitcoin オリジナルタイトル：Polymarketのユーザーが攻撃を受け、企業はパートナーの不具合を非難 オリジナルリンク： 分散型予測市場プラットフォームのPolymarketは、最近のセキュリティ侵害により、一部のユーザーが被害を受けたことを確認しました。これは、第三者認証プロバイダーに関連する脆弱性の悪用によるものです。

最初の報告は今週初めにXやRedditなどのソーシャルメディアで広まり、ユーザーがアカウントに不正アクセスされ、プラットフォームに保管されていた資産を失ったと報告しました。

あるユーザーは、デバイスや同じメールアドレスにリンクされた他のアカウントの侵害の兆候なしに、3回のログイン試行の警告を受け取ったと述べています。しかし、Polymarketにアクセスしたところ、すべてのポジションが閉じられ、残高はほぼゼロになっていることに気づきました。

他の証言も似たような状況を描いており、事前のログイン通知とその後すぐにアカウントが空になるケースが報告されています。ユーザーは疑わしいリンクをクリックしていないと保証し、二要素認証などの基本的なセキュリティ対策を維持していると述べています。

ソーシャルメディアで共有された情報によると、これらのケースはMagic Labsを通じてPolymarketのアカウントを作成したユーザーに集中しているようです。Magic Labsはメールアドレスでログインでき、非カストディアルのEthereumウォレットを自動生成するサービスです。この種の登録は、まだ自分のウォレットを持たない暗号通貨初心者の間で一般的であり、問題の範囲を拡大させた可能性があります。

火曜日に、PolymarketはDiscordの公式チャンネルでこの事件を正式に認め、影響を受けたユーザーの数は限定的であり、既に脆弱性を特定し解決したと発表しました。同社によると、この脆弱性は外部の認証プロバイダーに起因しており、すでに修正済みであり、現時点で追加のリスクはないとしています。

プラットフォームは、影響を受けたアカウントの数や総損失額については公表しておらず、関与した外部サービスの名前も明らかにしていませんが、被害を受けたユーザーと直接連絡を取ると述べています。

「最近、少数のユーザーに影響を与えたセキュリティの問題を特定し解決しました」とPolymarketはDiscordに書き込みました。「この問題は、外部の認証プロバイダーによって導入された脆弱性によるものです。」

この事件は、過去に類似の問題に直面したことのあるプラットフォームのセキュリティに対する懸念を再燃させています。2024年9月には、Googleアカウントを通じてアクセスしていたユーザーが、"proxy"タイプの関数呼び出しを利用した攻撃によりウォレットの空き巣被害に遭い、資産を失ったと報告しています。

当時、Polymarketは外部の認証プロバイダーに関連する潜在的な脆弱性も指摘していました。最近では、サイトのコメントセクションを悪用したフィッシングキャンペーンにより、ユーザーが偽のページにログインさせられ、50万ドル以上の損失を出す事態も発生しています。詐欺師は、ユーザーを騙して偽のページにログインさせる手口を使いました。