電子メール認証を悪用した不正アクセスが発覚
分散型予測市場プラットフォームのPolymarket(ポリマーケット)は、サードパーティの認証プロバイダーに起因するセキュリティ上の脆弱性により、一部のユーザーアカウントで資金流出が発生したことを明らかにした。
同社は、問題はすでに解決済みであり、基盤となるプロトコルやスマートコントラクトへの影響はなかったとしている。
認証基盤の欠陥を突いた侵害が判明
今回の事案は12月下旬に表面化した。XやRedditなどのソーシャルメディア上では、Polymarketにログインしたところ残高が消失していたとの報告が相次ぎ、複数のユーザーが不審なログイン試行通知を受け取った後にUSDC残高が流出したと証言している。
同社によると、不正アクセスは同社のコアインフラを直接狙ったものではなく、電子メールベースのログインを可能にする外部認証システムの脆弱性を攻撃者が悪用したことによるものだった。この欠陥により、特定のユーザーアカウントに不正アクセスが可能となり、ユーザーの承認を伴わない資金移動が行われたという。
同社は公式Discordチャンネルで、影響は「少数のユーザー」に限定されていると説明し、当該の脆弱性はすでに修正されたと強調した。一方で、影響を受けたユーザー数や損失額の総額については明らかにしていない。
被害報告は複数のプラットフォームで拡散
ユーザーの投稿によると、異常なログイン通知を複数回受け取った直後に残高が消失するケースが共通して確認されている。被害を訴えた一部のユーザーは、2段階認証を有効にしており、不審なリンクをクリックした事実もなかったと主張している。
外部認証に依存した利用者への影響と過去事例の整理
今回の侵害について、ユーザー間では、電子メール認証と非管理型ウォレット生成を提供するサービスを通じて登録したアカウントが影響を受けた可能性が指摘されている。
同社は認証プロバイダー名を公式には公表していないものの、被害を報告したユーザーの多くが、メールベースの認証方式を利用していた点は共通している。同社を巡るセキュリティ関連の事案は今回が初めてではない。過去には、コメント欄を悪用したフィッシング攻撃が確認され、50万ドル(約7,800万円)を超える被害が発生したとされる事例もあった。ただし、当時の事案はソーシャルエンジニアリングによるものであり、今回のような認証バイパスとは性質が異なる。
同社は今回のインシデントについて、決済機構や市場の仕組みには影響がなく、問題は認証に限定されたものだったと説明している。また、影響を受けたユーザーに対しては個別に連絡を取る方針を示しているが、補償の有無など詳細な対応については現時点で明らかにされていない。
今回の事案は、利便性を高めるサードパーティ認証が新たなリスクを内包する可能性を改めて示した形だ。仮想通貨関連サービスにおいて、外部統合が潜在的な弱点となり得る点に、あらためて注目が集まっている。
