ポリマーケットユーザーがGoogleログインウォレット攻撃の犠牲に
ポリマーケット(Polymarket)アプリのユーザーから、Google アカウントでログインした後、USDコイン(USDCoin/USDC)残高が消失したという報告が寄せられている事がわかった。
ポリマーケット予測市場アプリの一部ユーザーが、Googleアカウントでログインした後、ウォレットがなぜか空になったと不満を漏らしている。これらのインシデントは Google ログインユーザーに限定されているとみられ、メタマスク(MetaMask)やトラストウォレット(Trustwallet)などの拡張機能に依存しているユーザーによる報告は現時点ではみられていない。なお、被害者は、未決済取引が残っているにもかかわらず、入金後すぐに資金がフィッシングアカウントに転送されたと主張している。
Discordユーザー名@HHeego氏は、2024年8月5日、バイナンスからポリマーケットに1,085.80ドル(約156,000円)のUSD Coin (USDC)を入金。しかし、何時間も待っても、ポリマーケットアプリ内のアカウントに入金は表示されず、大きな損失を記録。当初は遅延が発生したが、入金が表示されるとすぐに消えてしまい、アカウントが空になったという。ポリマーケットが当初は不具合が解決したと保証していたにもかかわらず、別の入金の試みでさらに損失が発生したとのことだ。
また、別の被害者であるDiscordユーザー名@Cryptomaniac氏は、カスタマーサービスから受け取った声明の1つのスクリーンショットを提供の中で、エージェントは同氏に、チームが「これまでに5回エクスプロイトを確認した」と伝えていることから、少なくとも3人の被害者がいることを示唆している。
ポリマーケットによる対応と調査
これらの損失を受け、影響を受けたユーザーは、ポリマーケットのカスタマーサポートに連絡したとのこと。
回答によると、同社は問題についてすでに調査を開始しており、複雑であると考えているという。しかし、一部のユーザーは、ポリマーケットからの具体的なフォローアップや解決策がないことに不満を表明。ブロックチェーンデータとユーザーレポートによると、資金はフィッシングアカウントに向けられた「プロキシ」機能を介して流出したとみられる。ポリマーケットのユーザーフェイスでは、エクスプロイトはGoogleログインやメールOTP(One Time Password:ワンタイムパスワード)などの非伝統的なログイン方法に関連付けられているとみられる。ポリマーケットはログインにMagic LabsのSDK(Magicソフトウェア開発キット)を活用。これにより、パスワードなし、シードなしのログインを可能にし、ユーザーがMetamaskやCoinbase Walletなどの標準Web3ウォレットをダウンロードしなくてもアプリにログインできる仕組みだ。なお、脆弱性はこれらの新しい認証方法に限定されているとみられている。
今インシデントは、暗号空間内の一部の最新ログインシステムの重大な弱点を強調。安全性の低いログイン方法を使用してユーザーアカウントを悪用する攻撃ベクトルには、セキュリティプロトコルの再評価が必要である。暗号業界が進化するにつれて、ユーザー資産を保護するための堅牢なセキュリティを維持することが優先事項であり続ける必要があり、解決策が明確になるまで、ユーザーは警戒を怠らず、可能な限りより安全な認証オプションを選択する必要がある。