分散型予測市場プラットフォームポリマーケットは23日、外部の認証プロバイダーに起因するセキュリティ上の脆弱性により、一部のユーザーアカウントから資金流出があったことを認めた。24日、暗号資産（仮想通貨）メディアThe Block（ザ・ブロック）が事件の実態を報じている。

声明で企業名公表せず、被害者への個別対応進める

今回の問題は、今週初めからSNS上で被害を訴える投稿が相次いだことで表面化した。報道によると、被害を受けたユーザーは、自身のデバイスや連携するGoogleアカウントに異常がないにもかかわらず、ポリマーケット上のポジションが強制的に清算され、残高がほぼゼロになるといった現象に見舞われたという。

特筆すべきは、一部の被害者がメールの二要素認証（2FA）を有効化し、かつ不審なリンクをクリックした形跡がない状況で被害を受けたと主張している点だ。このことから、個別のユーザーに対する攻撃ではなく、認証システムそのものの不備が疑われていた。

ポリマーケットは23日、公式Discordで声明を発表。特定のサードパーティ認証プロバイダーによって生じた脆弱性を特定し、すでに解決したと説明した。同プラットフォームは具体的な企業名を公表していないが、コミュニティの間ではMagic Labs（マジック・ラボ）が関与しているとの見方が強まっている。

マジック・ラボは、メールアドレスのみで非カストディアルなイーサリアムウォレットを生成できるサービスであり、暗号資産の操作に慣れていない初心者層に広く利用されている。今回の事例がこのマジック・ラボ経由で登録したユーザーに集中していることが推測の根拠となっているようだ。

ポリマーケットは今回の事例について、影響を受けたのは「少数のユーザー」であり、現在は修正済みで継続的なリスクはないとしている。同社は影響を受けたユーザーに対し、個別に連絡を進めていくとのことだ。

今回の事例は、分散型サービスであっても外部インフラへの依存が新たなリスクを生むことを示した。利便性と安全性のバランスをどう取るかが、今後のWeb3サービス全体に共通する課題として改めて問われている。

関連：米司法省とCFTC、仮想通貨予測市場Polymarketの捜査を打ち切り──CEOが喜びの声明
関連：ヤーン・ファイナンスのyETHがハッキング被害──トークン価値ほぼ消失