Polymarket 遭前端攻击:约 300 万美元被换成 ETH 归集至单一以太坊钱包

加密货币新闻

预测市场平台 Polymarket 周四损失约 300 万美元用户资金,攻击者攻陷了一家第三方供应商,并向平台前端注入了恶意代码。根据我们对事件链路的研判,这是一次供应侧的入侵,而非 Polymarket 自身合约存在缺陷:被篡改的网页悄悄重新指向了授权操作,让黑客在用户察觉之前就清空了钱包。一位知名链上分析师最先标记了这起盗窃,估算从一组账户中被抽走的金额最高达 294 万美元。这起事件再次提醒业界,即便底层智能合约稳固,前端依赖——也就是为去中心化应用提供服务的链下「管道」——仍是薄弱环节。Polymarket 表示该攻击途径目前已被封堵。

Polymarket 已在官方声明中确认此次入侵,并承诺向每一位受影响客户全额赔付。该公司称恶意前端代码已被隔离并清除,被攻陷的供应商正是入口,但其未公开点名该供应商。截至最新披露,官方尚未给出被盗资金中可追回的部分与需由公司自有资金垫付部分的具体比例。这种赔付承诺让本次事件区别于典型的自托管损失:通过为第三方故障承担责任,Polymarket 吸收了大多数非托管平台原本会完全转嫁给终端用户的成本。

这是 Polymarket 两个月内第二起安全事件,且延续了社会工程攻击而非协议漏洞的反复出现模式。过去一年里,攻击者多次诱骗用户在仿冒站点上交出凭证,随后在几分钟内清空钱包。本月早些时候,一名交易者在一个伪造的 Polymarket 克隆站输入一次性密码(OTP)后损失超过 200 万美元,攻击者借此劫持了受害者与邮箱绑定的登录钱包并即时提走资金。工程团队当时强调,损失发生在欺诈域名上,而非源于 Polymarket 生产环境的任何缺陷——而本周的供应商入侵让这一界限变得复杂。

链上数据厘清了资金的流向。攻击者清空了持有 pUSD 的钱包——pUSD 是 Polymarket 锚定美元的稳定币,以 USDC 作为抵押,用于结算平台上的每一笔交易——随后将所得通过自动做市商兑换成 ETH。这些转换后的资金被归集到单一的以太坊地址,截至撰稿时仍停留在该地址。区块链调查人员判断损失大体可控,受影响账户少于 15 个,不过随着更多交易被追踪,这一数字可能上升。将被盗价值集中到一个链上地址,虽让取证机构得以保持追踪线索清晰,却也增加了任何冻结操作的难度。

有关 POLY 可能空投的猜测,正在放大针对平台用户的钓鱼威胁。6 月 25 日,有观察者注意到 Polymarket 悄然修改了其常见问题页(FAQ),删除了此前声称没有代币的措辞,并移除了关于无免费分发计划的表述。该公司一位市场高管早在 2025 年 10 月的一次采访中便已透露代币意图,描述其目标是打造一种具备实用功能、可长期持续的资产。这一预期促使交易者调整策略以求符合资格,反过来又给骗子提供了新的掩护:当一项山寨币分发看似临近时,伪造的资格查询器和假冒的领取页面便成了轻易的诱饵。

这并非 Polymarket 相关基础设施首次遭袭。今年 5 月,该平台部署在 Polygon 上的 UMA CTF Adapter 被攻陷,调查人员将那次入侵归因于被盗的部署者密钥,而非合约漏洞。综合来看,部署者密钥事件、克隆站 OTP 盗窃,以及本周的供应商入侵,展示了三种不同入口被利用却得到相同结果:资金在被发现前已被抽走。三者的共同线索都在于运营与人为层面的安全——密钥管理、供应商审查、用户身份验证——而非链上市场本身的完整性;在这三起已记录的案例中,链上市场都不是失守的环节。

我们的研判是,Polymarket 这一系列事件暴露了行业最被低估的风险:环绕在本应稳固合约之外的链下攻击面。根据 COINOTAG 的综合市场数据,市场情绪本已脆弱——恐慌与贪婪指数仅为 13(满分 100),深陷「极度恐慌」区间;与此同时比特币市占率已升至 70.2%,加密货币总市值维持在约 1.7 万亿美元附近,显示资金正向被视为更安全的资产轮动。前端与供应商入侵的反复发生,恰恰侵蚀了预测市场和稳定币体系所依赖的那份信任。被盗的 pUSD 兑换成 ETH 后在一个可追踪地址上的链上归集,为调查人员提供了线索,但资金能否追回仍未获证实。