Polymarket確認安全脆弱性事件：ユーザーアカウントが侵入され、サードパーティ認証提供者が犯人の主な原因となる

ソース：PortaldoBitcoin オリジナルタイトル：Polymarketのユーザーが攻撃を受け、企業はパートナーの脆弱性を非難 オリジナルリンク： 予測市場プラットフォームPolymarketは、最近セキュリティ脆弱性による攻撃を受け、一部のユーザーに影響を与えたことを確認しました。この脆弱性は、サードパーティの認証提供者のセキュリティ欠陥に起因しています。

今週初め、ユーザーはソーシャルメディア上でアカウントの不正アクセスと資金の喪失を報告し始めました。そのうちの一人のユーザーは、3回のログイン失敗警告を受け取ったと述べましたが、デバイスやメールアカウントに侵入の兆候は見られませんでした。しかし、Polymarketにログインしたところ、すべてのポジションが清算され、アカウント残高はほぼゼロになっていました。

他のユーザーも同様の状況を報告しており、ログイン通知を受け取った直後にアカウントが空になったと述べています。彼らは疑わしいリンクをクリックしていないと主張し、メールの二要素認証などの基本的なセキュリティ対策を有効にしていました。

ソーシャルメディアの情報によると、影響を受けたユーザーの主な対象は、Magic Labsを通じてPolymarketアカウントを作成したユーザーです。Magic Labsは、メールアドレスでログインし、非管理型のイーサリアムウォレットを自動生成するサービスです。この登録方法は暗号通貨初心者の間で一般的であり、問題の影響範囲を拡大させた可能性があります。

火曜日、PolymarketはDiscordチャンネルでこの事件を正式に認め、影響を受けた一部のユーザーの脆弱性を特定し修正したと発表しました。同社は、この脆弱性はサードパーティの認証提供者に起因しており、すでに修正済みで追加のリスクはないと述べています。

Polymarketは、影響を受けたアカウント数、総損失額、関与したサードパーティサービスの名称については開示していませんが、被害者のユーザーに直接連絡するとしています。

「最近、少数のユーザーに影響を与えたセキュリティ問題を特定し解決しました。この問題は、サードパーティの認証提供者による脆弱性に起因しています」と、PolymarketはDiscord上で述べました。

この事件は、再びプラットフォームのセキュリティに対する懸念を呼び起こしています。過去にも同様の事例がありました。2024年9月、Googleアカウントを通じてサービスにアクセスしたユーザーがウォレットの空き巣被害を報告し、攻撃者は代理タイプの関数呼び出しを利用してUSDCをフィッシングアドレスに送金しました。

当時、Polymarketはサードパーティの認証提供者に関連する脆弱性の可能性も指摘していました。最近では、ウェブサイトのコメント欄を利用したフィッシング活動により、50万ドル以上の損失が発生し、詐欺師は正規のウェブサイトに偽装した詐欺ページにユーザーを誘導してログインさせる手口を使いました。