Polymarket 用户因网络钓鱼攻击损失超过 200 万美元；副总裁详细介绍安全漏洞

去中心化预测市场平台 Polymarket 的一名用户在一次有针对性的网络钓鱼攻击中损失了超过 200 万美元，该公司工程副总裁 Josh Stevens 在社交媒体平台 X 上证实。最近发生的这起事件凸显了加密货币生态系统中持续存在的安全漏洞，特别是在钱包身份验证方法方面。

攻击是如何展开的

据史蒂文斯称，受害者被引导至一个极其模仿合法 Polymarket 界面的欺诈性网页。攻击者创建了假域名，诱骗用户为其 Magic Link 钱包输入一次性密码 (OTP)。 Magic Link 钱包是一种简单的基于电子邮件的钱包，允许通过发送到用户注册电子邮件地址的唯一链接进行访问。一旦 OTP 被泄露，黑客立即获得访问权限并迅速提取资金。

史蒂文斯强调，此次泄露并不是 Polymarket 核心平台的故障，而是用户与恶意第三方网站交互的结果。他表示，Polymarket 目前正在积极与受影响的用户和多家加密货币交易所合作，努力冻结并可能追回被盗的资产。

立即响应和计划的安全增强

史蒂文斯在公开声明中敦促所有 Polymarket 用户在导航到非 Polymarket 域时要格外小心，并在输入任何敏感信息之前验证网站 URL。他还透露，该公司正在内部评估引入额外的安全层，例如多重身份验证（MFA），以便为用户帐户提供更强的保护。

该事件重新引发了加密社区内部关于用户便利性和安全性之间权衡的讨论。 Magic Link 钱包虽然易于使用，但因其对电子邮件安全的依赖而受到批评，这可能成为网络钓鱼场景中的单点故障。

对加密货币用户的更广泛影响

这次攻击清楚地提醒我们，网络钓鱼仍然是数字资产领域最有效和最具破坏性的威胁之一。随着去中心化平台越来越受欢迎，针对用户的社会工程攻击也变得越来越复杂。单次事件造成的损失超过 200 万美元，凸显了平台级安全升级和用户教育以识别和避免网络钓鱼尝试的迫切需要。

对于更广泛的行业而言，该活动可能会加速在去中心化应用程序中采用更强大的身份验证方法，例如基于硬件的安全密钥或生物识别验证。

结论

Polymarket 用户遭受的价值 200 万美元的网络钓鱼攻击给该平台带来了重大的财务损失和严重的安全事件。虽然 Polymarket 的工程团队正在与受害者和交易所合作追踪资金，但该事件促使该公司考虑实施多因素身份验证。建议用户保持警惕，验证域名的真实性，并避免在未经验证的网站上输入凭据。

常见问题解答

问题 1：什么是 Magic Link 钱包？ Magic Link 钱包是一种加密货币钱包，它使用发送到用户电子邮件的独特的、时间敏感的链接来授予访问权限。它的设计是为了简单，但如果攻击者获得用户电子邮件的访问权限或诱骗他们在虚假网站上输入一次性密码，则可能容易受到攻击。

Q2：被盗资金能否追回？Polymarket正在积极与受害者和多家加密货币交易所合作，试图冻结被盗资金。然而，恢复取决于响应速度以及资金是否已转移到其他钱包或转换为其他资产。

Q3：Polymarket 计划添加哪些安全措施？ 据 Josh Stevens 介绍，Polymarket 内部正在考虑引入多重身份验证 (MFA)，以在当前基于电子邮件的 Magic Link 系统之外提供额外的安全层。目前尚未公布实施时间表。