Polymarketアカウントの資金流出、サードパーティログインのリスクが浮き彫りに

Cryptotale2025/12/24 14:14

原文を表示

著者:Cryptotale

Polymarketのユーザーアカウントハッキングは、プロトコルの欠陥ではなく、サードパーティ認証に起因していることが判明。
メールベースのウォレットオンボーディングにより、スマートコントラクトの脆弱性を利用せずにアカウントから資金が流出した。
この事件は、サードパーティのログインサービスが障害点となることで、Web3全体のシステミックリスクを浮き彫りにした。

Polymarketは、サードパーティのログインサービスの脆弱性を悪用した攻撃者によって、限定的な数のユーザーアカウントから資金が流出したと発表した。ユーザーは、複数回のログイン後に突然残高が減少し、ポジションがクローズされたと説明している。Polymarketは2025年12月24日にこのインシデントを確認し、問題を修正したと述べた。

2025年12月22日と23日に、X、Reddit、Discord上で報告が相次いだ。あるRedditユーザーは、3回のログイン試行の後、残高が$0.01になったと報告。別のユーザーも同様の事例を報告し、メールによる二要素認証でも資金流出を防げなかったと述べた。

Polymarketは、最近複数のユーザーアカウントがサードパーティ認証サービスのセキュリティ脆弱性により資金損失を被ったと発表しました。問題はすでに修正され、継続的なリスクはありません。一部のユーザーは、ソーシャルメディア上で資金が流出したと報告しています…
— Wu Blockchain (@WuBlockchain) December 24, 2025

サードパーティ認証がオンボーディングの共通の弱点に

Polymarketは、サードパーティ認証プロバイダーが脆弱性をもたらしたと述べた。同社は公式Discordチャンネルで、問題を特定し解決したと投稿している。Polymarketは、このインシデントが少数のユーザーに影響したと説明した。

Polymarketはサードパーティプロバイダーの名前や盗まれた総額を公表していない。しかし、プラットフォームのコアプロトコルは安全であり、問題は認証部分に限定されていたと述べている。また、修正により継続的なリスクは排除され、影響を受けたユーザーには個別に連絡するとしている。

この説明により、市場の仕組みから暗号資産のオンボーディング基盤へと関心が移る。多くのプラットフォームは、迅速なサインアップのために外部のID、ウォレット、ログインサービスに依存している。そのため、1つのプロバイダーの弱点が複数のアプリでユーザーを危険にさらす可能性がある。

メールウォレットログインが埋め込み型ウォレットアクセスのリスクを高める

ユーザーの投稿によると、多くの被害アカウントは、直接ウォレット接続ではなく、メールベースの「マジックリンク」アクセスを利用していた。いくつかの報告は、Magic Labsが一般的なサインアップ経路であることを指摘しているが、Polymarketはその関連性を確認していない。ユーザーはまた、資金流出前に不審なリンクをクリックしていないとも述べている。

メールベースのウォレットプロバイダーは、サインアップ時に非カストディアルなEthereumウォレットを作成することが多い。この仕組みは、拡張機能やシードフレーズを管理しない初めての暗号資産ユーザーを惹きつける。しかし、プロバイダーは依然としてログインやリカバリーフローの主要部分を管理している。

Polymarketユーザーは、明確な承認シグナルなしにUSDC残高が流出したと説明している。また、許可されていないアクセスの直後にポジションが素早くクローズされたとも報告されている。このため、今回のインシデントは、アカウントセキュリティがスマートコントラクト層より上で破綻する可能性を浮き彫りにした。

過去のPolymarketインシデントがアクセス層の脆弱性を示す

この流出事件は、2024年9月にGoogleベースのログインで発生したユーザー報告を想起させる。ユーザーは、攻撃者が「プロキシ」関数呼び出しを利用してウォレットから資金を流出させたと説明している。これらの呼び出しは、ユーザーの説明によれば、USDC資金をフィッシングアドレスに移動させた。

当時Polymarketは、これらの出来事をサードパーティ認証に関連する標的型攻撃の可能性があると扱っていた。この経緯は、同じ構造的リスクを示している。認証やセッションシステムは、重大な影響を及ぼす標的となり得る。

2025年11月には別の脅威が浮上し、詐欺師がPolymarketのコメント欄を悪用した。攻撃者が偽装リンクを投稿したことで、ユーザーは$500,000を超える損失を報告。これらのリンクは、被害者を不正なページに誘導し、メールログイン情報を盗み取った。

2025年12月のインシデントも、決済の失敗ではなく統合リスクに焦点が当てられている。Polymarketは技術的な事後分析やインシデントの全タイムラインを公開していない。また、損失に対するユーザーへの補償についても明言していない。

一方、ユーザーはサインイン方法を比較し、公開スレッドでウォレットアドレスを共有している。高額残高のユーザーの中には、直接ウォレット接続に切り替える動きも見られる。この出来事は、暗号資産オンボーディングにおけるより広範な結論を強調している。すなわち、サードパーティのIDおよびウォレット基盤は今やクリティカルパス上にあり、エコシステムで最も脆弱なポイントとなり得るということだ。