Polymarket 承認用戶資金遭竊，「一鍵登入」第三方服務成破口

Polymarket 聖誕前夕爆出資金遭竊，漏洞源自第三方錢包服務 Magic Labs，突顯 Web3 便利性背後的單點風險。
（前情提要：預測市場龍頭 Polymarket 宣布自建 L2，Polygon 的王牌沒了？ ）
（背景補充：如何通過 Polymarket 套利實現年化 40% 收益？ ）

加密預測市場龍頭 Polymarket 傳出資金遭竊，多名用戶在 12 月 24 日凌晨於 X 與 Reddit 狂怒「帳戶餘額被清空」。

平台旋即在官方 Discord 承認安全漏洞，並指向「第三方服務供應商」。鏈上追蹤工具 Lookonchain 隨後鎖定錢包服務業者 Magic Labs，讓這起事件成為 2025 年末最受關注的加密市場安全破口。

官方稱已修復，但仍有人擔心

用戶爆料後不到一小時，Polymarket 發布公告：

我們發現一個與第三方服務供應商相關的漏洞，目前已完成修復。受影響的用戶僅占極少數，我們將主動聯繫這些用戶。

公告未揭露損失金額與受害人數，卻引起了更大的恐慌。依照 Polymarket 2025 年的平台單月成交額，每月都是數十億美元估算，即便「極少數」也可能是高額損失。

不同於常見釣魚攻擊，事發當下沒有可疑連結流傳，許多受害者甚至啟用電子郵件 2FA。防線被繞過的關鍵，不在用戶端，而在後台的第三方認證。

Magic Labs 登入機制成為破口

Polymarket 為降低門檻，引入 Magic Labs 的「Email 一鍵生成非託管錢包」。用戶無需保管助記詞，寄送驗證碼即可操作以太坊資產。而攻擊者直接利用 Magic Labs 認證層的系統漏洞取得錢包控制權，2FA 等同無效。

目前鏈上流向顯示，駭客地址短時間內拆分資產並透過多層混幣，增加追查難度。官方雖稱「已經修復」，但尚未回應社群要求的完整事後報告。

與此同時，安全公司 SlowMist 警告 GitHub 出現惡意 Polymarket 跟單機器人，專門針對自建交易腳本的高階玩家。該程式會讀取本地配置檔並偷偷傳出私鑰，雖與 Magic Labs 漏洞無直接關聯，卻在同一天爆發。