Polymarketは、第三者認証の脆弱性が悪用され、ユーザー資金が盗まれたことを確認しました。この事案により、リスクへの懸念が高まっています。
2025-12-25 03:36:24
初級編
クイックリード 
画像: https://x.com/TheBlock__/status/2003739551865475076
Polymarket、第三者認証の脆弱性による攻撃を確認 ユーザー資産が流出
2025年12月下旬、暗号資産予測市場プラットフォームPolymarketは、第三者の本人認証サービスを介したセキュリティインシデントを正式に認め、一部ユーザーの資産が盗まれたと発表しました。プラットフォームは、侵害がPolymarketのコアプロトコルやスマートコントラクトの欠陥によるものではなく、第三者認証サービスの脆弱性が悪用された結果であると強調しています。攻撃者は、この脆弱性を突いて対象ユーザーのアカウントを掌握し、資金を移動させました。
背景と公式声明
Polymarketの公式発表によれば、セキュリティ侵害はユーザーログイン時に発生し、主にワンクリックメールログインなど第三者認証サービス経由で登録・アクセスしたアカウントが影響を受けました。複数のユーザーが二要素認証(2FA)を有効化していたにもかかわらず、数分で残高が消失したと報告しています。
Polymarketは、脆弱性が既に修正されており、継続的な攻撃リスクは認められていないと説明しています。プラットフォームのコア市場メカニズム、スマートコントラクト、決済システムには影響がなく、侵害は外部認証プロセスのセキュリティ欠陥によるものと明確にしています。
攻撃手法と潜在的脆弱性メカニズム
業界分析や公開情報によると、今回の攻撃は一般的なフィッシングやユーザーによる秘密鍵漏洩ではありません。攻撃者は第三者認証プロセスの弱点を利用し、通常のログイン認証を回避してアカウントに紐づくウォレットを掌握したとみられます。ユーザーが悪意あるリンクを踏んだり、メール認証情報を漏洩したりしていなくても、被害が発生しました。
攻撃者がアカウントを掌握後、資産は外部アドレスへ迅速に移され、トランザクションの分割やチェーン上のオブスクレーションによって資金流を隠し、実損をもたらしました。
Polymarketは脆弱性の技術的詳細や関与した第三者プロバイダーについては現時点で開示していません。ただし、業界では、認証ソリューションが鍵管理やアカウント認可を外部委託する場合、これらが侵害されるとシステム全体のリスクとなるとの見方が一般的です。
ユーザーの声とコミュニティの反応
インシデント発覚後、ユーザーはコミュニティやSNSで体験を共有しました。あるユーザーは、異常なログイン通知後にPolymarketへ再ログインしたところ、残高がほぼ消失していたと報告。別のユーザーは危険な操作をしておらず、メールログインと2FAのみ利用していたにもかかわらず、短時間で資産が外部へ送金されたと述べています。
これらの事例はコミュニティ内で議論を呼び、多くのユーザーがWeb3プラットフォームでの「利便性の高いログイン」と「資産の安全性」のトレードオフを再考し始めています。分散型アプリのユーザー体験最適化が、セキュリティ境界の脆弱性を露呈する可能性があるとの指摘も見られます。
Polymarketの対応と現状
侵害確認後、Polymarketは即座に脆弱性を修正し、影響を受けたユーザーへの連絡を開始したと報告しています。プラットフォームは新たな不審な動きは確認されておらず、システムは安全に運用されていると強調しています。
また、公式声明ではコアスマートコントラクトや市場ロジックに影響はなかったと確認。セルフカストディウォレットを利用するユーザーや第三者認証を使わずにログインしたユーザーは、今回の攻撃の対象外でした。
現時点で、Polymarketは被害ユーザー数や金銭的損失の規模については公表していません。
業界視点:第三者認証が高リスク要因となる理由
業界全体から見ると、今回の事例はWeb3プラットフォームが第三者本人認証サービスに依存する際の構造的リスクを浮き彫りにしています。メールログインやソーシャルアカウント認証は参入障壁を下げる一方、新たな攻撃対象を生み出します。
Web2でもOAuthやソーシャルログインシステムは長年セキュリティ課題を抱えています。Web3では、これら認証プロセスがウォレット作成や鍵管理、トランザクション認可と直接結びつくため、脆弱性が生じるとデータ侵害だけでなく資産の直接的損失につながります。
セキュリティ教訓とユーザー保護の推奨事項
Polymarketのインシデントから暗号資産保有者が得られる主なセキュリティ教訓は以下の通りです:
- 第三者認証サービスの利用は慎重に。セルフカストディウォレットや独立した鍵管理ソリューションを優先する。
- ハードウェアウォレットや独立認証器など、多層的な保護を導入する。
- 使用頻度の低いプラットフォームでは、資産を速やかに個人管理アドレスへ移す。
- 公式プロジェクトのアップデートやセキュリティ警告、コミュニティのフィードバックを注視し、リスクに迅速に対応する。
結論
まとめると、Polymarketのセキュリティインシデントはコアプロトコルの安全性を損なうものではありませんでしたが、Web3エコシステムにおける第三者本人認証の潜在的なシステムリスクを明確に示しました。暗号資産業界がユーザー拡大や体験向上を追求する中、利便性と資産安全性のバランスは今後も全プラットフォームにとって重要な課題です。
著者: Max
免責事項
* 本情報はGateが提供または保証する金融アドバイス、その他のいかなる種類の推奨を意図したものではなく、構成するものではありません。
* 本記事はGateを参照することなく複製/送信/複写することを禁じます。違反した場合は著作権法の侵害となり法的措置の対象となります。
共有
内容
Sign Up
関連記事
中級
Fartcoinとは何か?FARTCOINについて知っておくべきすべて
Fartcoin(FARTCOIN)は、Solanaエコシステムを代表するAI主導のミームコインです。
2024-12-27 08:15:51
初級編
暗号資産オプションとは何ですか?
多くの新参者にとって、オプションは少し複雑に見えるかもしれませんが、基本的な概念を把握すれば、暗号資産の金融システム全体におけるその価値と可能性を理解することができます。
2025-06-09 09:04:28
初級編
誰も話さない5000万ドルの暗号資産詐欺
この調査は、複数の機関投資家を欺いた精巧な店頭(OTC)取引スキームを明らかにし、首謀者「ソース 1」を暴露し、暗号資産のグレー市場取引における重要な脆弱性を暴露しています。
2025-06-26 11:12:31
初級編
暗号資産未来利益計算機:潜在的な利益を計算する方法
暗号資産先物収益計算機は、エントリープライス、レバレッジ、手数料、市場の動きを考慮して、トレーダーが先物契約からの潜在的な収益を見積もるのを支援します。
2025-02-09 17:25:08
初級編
MathWallet クイックスタートガイド
MathWalletはマルチチェーンウォレットとしてPlasmaメインネットへの対応を開始し、第3四半期のトークンバーンも完了しました。本記事は初心者向けクイックスタートガイドです。ウォレットの作成、バックアップ、ネットワーク切り替えの方法を分かりやすく解説します。このガイドによって、ユーザーはMathWalletの主要機能を効率的に習得できるようになります。
2025-10-31 08:43:34
初級編
Oasis Network(ROSE)とは何ですか?
オアシスネットワークは、スマートなプライバシーテクノロジーを通じて、Web3とAIの開発を推進しています。プライバシー保護、高いスケーラビリティ、クロスチェーンの相互運用性を備えたオアシスネットワークは、分散型アプリケーションの将来的な開発に新たな可能性を提供しています。
2025-05-20 09:41:15