一部のPolymarketユーザーがGoogle経由でログインしたアカウントへの攻撃を報告

9月29日、Cointelegraphは、予測市場Polymarketの一部ユーザーが最近ウォレット攻撃を報告したと伝えました。攻撃者は「プロキシ」機能を使用して被害者のUSDC残高を盗み、主にGoogleアカウントでログインしたユーザーに影響を与えました。ユーザーの一人、HHeegoは8月5日と11日に攻撃を受け、合計で約5,197.11ドルを失いました。別のユーザー、Cryptomaniacは8月9日に745ドルを失いました。

Polymarketのカスタマーサービスは、少なくとも5件の類似した攻撃を確認したと認め、攻撃者が「メールワンタイムパスワード」を使用して被害者のアカウントにログインしたと疑われています。しかし、被害者はプラットフォームにアクセスするためにメールアドレスを使用したことはないと述べています。MetaMaskやTrustwalletなどのブラウザウォレット拡張機能を使用しているユーザーは影響を受けませんでした。PolymarketはMagic LabsのSDKを使用して、パスワードレス、シードレスフレーズログインを可能にしており、理論的には攻撃者がユーザーのGoogleアカウントにアクセスして認証する必要があります。しかし、被害者はGoogleアカウントが侵害された形跡はないと報告しています。PolymarketとMagic Labsはこの事件にまだ対応していません。