Polymarket ยอมรับว่าเงินของผู้ใช้ถูกขโมย และบริการของบุคคลที่สาม "เข้าสู่ระบบด้วยคลิกเดียว" ได้กลายเป็นช่องโหว่

👤 energyed@Claire 📅 2026-04-02 19:22:54

Polymarket รายงานว่าเงินถูกขโมยในวันคริสต์มาสอีฟ ช่องโหว่ดังกล่าวเกิดขึ้นจากบริการกระเป๋าเงินของบุคคลที่สามอย่าง Magic Labs โดยเน้นถึงความเสี่ยงจุดเดียวที่อยู่เบื้องหลังความสะดวกสบายของ Web3
(การบรรยายสรุปเบื้องต้น: Polymarket ผู้นำในตลาดการทำนาย ประกาศว่าจะสร้าง L2 ของตัวเอง ทรัมป์การ์ดของ Polygon หายไปแล้วหรือยัง )
(ส่วนเสริมเบื้องหลัง: วิธีสร้างรายได้ต่อปี 40% ผ่านการเก็งกำไรของ Polymarket )

Polymarket ผู้นำในตลาดการทำนาย crypto รายงานว่าเงินถูกขโมย และผู้ใช้จำนวนมากโกรธ X และ Reddit ในตอนเช้าตรู่ของ 24 ธันวาคม ว่า “ยอดเงินในบัญชีหมด”

แพลตฟอร์มยอมรับข้อบกพร่องด้านความปลอดภัยใน Discord อย่างเป็นทางการทันที และชี้ไปที่ "ผู้ให้บริการบุคคลที่สาม" เครื่องมือติดตามออนไลน์ Lookonchain ได้กำหนดเป้าหมายผู้ให้บริการกระเป๋าเงิน Magic Labs ในเวลาต่อมา ทำให้เหตุการณ์นี้เป็นการละเมิดความปลอดภัยที่มีชื่อเสียงที่สุดในตลาด crypto ในช่วงปลายปี 2025

กล่าวอย่างเป็นทางการว่าได้รับการแก้ไขแล้ว แต่บางคนยังคงกังวล

น้อยกว่าหนึ่งชั่วโมงหลังจากที่ผู้ใช้แจ้งข่าว Polymarket ก็ออกประกาศ:

เราพบช่องโหว่ที่เกี่ยวข้องกับผู้ให้บริการบุคคลที่สาม ซึ่งได้รับการแก้ไขแล้ว มีผู้ใช้จำนวนน้อยมากเท่านั้นที่ได้รับผลกระทบ และเราจะติดต่อผู้ใช้เหล่านี้ในเชิงรุก

การประกาศไม่ได้เปิดเผยจำนวนการสูญเสียหรือจำนวนเหยื่อ แต่ทำให้เกิดความตื่นตระหนกมากขึ้น ตามปริมาณธุรกรรมต่อเดือนของแพลตฟอร์ม Polymarket ในปี 2568 คาดว่าจะมีมูลค่าหลายพันล้านดอลลาร์ทุกเดือน แม้แต่ “จำนวนที่น้อยมาก” ก็อาจส่งผลให้เกิดการสูญเสียสูง

ไม่เหมือนกับการโจมตีแบบฟิชชิ่งทั่วไป คือไม่มีลิงก์ที่น่าสงสัยเผยแพร่ในขณะที่เกิดเหตุการณ์ และเหยื่อจำนวนมากถึงกับเปิดใช้งานอีเมล 2FA กุญแจสำคัญในการข้ามแนวป้องกันไม่ได้อยู่ที่ฝั่งผู้ใช้ แต่อยู่ที่การตรวจสอบสิทธิ์ของบุคคลที่สามในเบื้องหลัง

กลไกการเข้าสู่ระบบ Magic Labs กลายเป็นช่องโหว่

เพื่อลดเกณฑ์ Polymarket ได้เปิดตัว Magic Labs "การสร้างกระเป๋าเงินแบบไม่ต้องดูแลทางอีเมลด้วยคลิกเดียว" ผู้ใช้ไม่จำเป็นต้องเก็บคำช่วยในการจำและสามารถใช้งานสินทรัพย์ Ethereum ได้โดยการส่งรหัสยืนยัน อย่างไรก็ตาม ผู้โจมตีใช้ประโยชน์จากช่องโหว่ของระบบในชั้นการรับรองความถูกต้องของ Magic Labs โดยตรงเพื่อเข้าควบคุมกระเป๋าเงิน และ 2FA ก็เทียบเท่ากับช่องโหว่ที่ไม่ถูกต้อง

กระแสปัจจุบันบนห่วงโซ่แสดงให้เห็นว่าที่อยู่ของแฮ็กเกอร์แบ่งสินทรัพย์ในช่วงเวลาสั้น ๆ และผสมเหรียญผ่านหลายชั้น ทำให้ยากต่อการติดตาม แม้ว่าเจ้าหน้าที่จะกล่าวว่า "ได้รับการซ่อมแซมแล้ว" แต่ยังไม่ได้ตอบสนองต่อคำร้องขอของชุมชนที่ต้องการรายงานหลังเหตุการณ์ฉบับสมบูรณ์

ในเวลาเดียวกัน บริษัทรักษาความปลอดภัย SlowMist เตือน GitHub ถึงการปรากฏตัวของหุ่นยนต์คัดลอก Polymarket ที่เป็นอันตราย โดยเฉพาะอย่างยิ่งการกำหนดเป้าหมายผู้เล่นขั้นสูงที่สร้างสคริปต์การซื้อขายของตนเอง โปรแกรมนี้อ่านไฟล์การกำหนดค่าในเครื่องและส่งรหัสส่วนตัวอย่างลับๆ แม้ว่าจะไม่เกี่ยวข้องโดยตรงกับช่องโหว่ของ Magic Labs แต่ก็เกิดขึ้นในวันเดียวกัน

ฉลาก：

นโยบาย

แบ่งปัน：

FB X YT IG

กล่าวอย่างเป็นทางการว่าได้รับการแก้ไขแล้ว แต่บางคนยังคงกังวล

กลไกการเข้าสู่ระบบ Magic Labs กลายเป็นช่องโหว่

energyed@Claire

ความคิดเห็น (10)

เพิ่มความคิดเห็น

เนื้อหาที่เกี่ยวข้อง

OpenAI founder Sam Altman’s ex-boyfriend was robbed at gunpoint, and $11 million in BTC and ETH was looted

Romania blocks Polymarket! Providing gambling services without a license, blockchain is not an umbrella for illegal gambling

The Dawn of DeFi Regulation》U.S. Department of Justice: Will no longer prosecute decentralized software developers for “unlicensed fund transfers”

On-chain detectives warn: $330 million in Bitcoin is suspected to have been stolen and laundered into Monero, and XMR once rose 50%

Hong Kong Cryptocurrency OTC Robbery "1 Billion Yen Moved in 30 Seconds", the police arrested 15 people including the mastermind, and the stolen money has not yet been found

Former Alameda Research CEO Caroline has left prison and been transferred to community supervision after serving only 11 months in prison

เนื้อหายอดนิยม

Use imitation grenades to rob the exchange! 21-year-old Russian man arrested on the spot

An American man concealed "$345 million in Bitcoin" hidden in the evidence hard drive! FBI directly formatted it. The private key was broken.

UK government sends 65,000 tax letters at once: warning cryptocurrency users to file their taxes honestly

Ledger founder kidnapped for 48 hours》David Balland and his wife rescued! 10 suspects arrested, encryption ransom frozen

Haotian: Why was the 15,000 cmETH hacked by Bybit able to be recovered?

Chinese police: The virtual currency involved in the case is now sold through the Hong Kong Exchange and turned over to the state treasury

ส่วนที่เกี่ยวข้อง

เนื้อหายอดนิยม