Polymarket 在遭受承包商入侵攻击后补偿 300 万美元:事件分析
预测市场平台Polymarket正式宣布,将全额赔偿因第三方供应商遭黑客攻击而遭受损失的用户。据链上分析师估计,此次损失约为300万美元。这一事件再次引发了对去中心化应用安全性的质疑,尤其是它们对外部基础设施供应商的依赖问题。
攻击细节
根据Polymarket团队的声明,在第三方承包商被入侵后,恶意脚本被植入平台前端,影响了部分用户。问题已得到控制,受感染的依赖项已被移除。平台代表康纳·布兰迪证实了资金被盗的事实,但拒绝进一步置评。
PeckShield的分析师估计损失为300万美元,而化名为Specter的研究人员则精确指出损失为294万美元,并提到超过11个钱包受到影响。根据Bubblemaps的数据,此次攻击波及不到15个账户,潜在损失在很大程度上得到了控制。攻击者通过Polygon上的智能合约提取了由USDC以1:1比例支持的pUSD代币,随后将其兑换为ETH,并整合到一个以太坊地址中,截至分析撰写时,这些资金仍留在该地址。
漏洞并非智能合约,而是界面
需要强调的是:此次攻击针对的是用户界面,而非Polymarket的基础智能合约。这意味着协议本身并未被攻破——问题出在受信任但保护薄弱的承包商基础设施上。该公司尚未透露具体是哪个供应商被入侵,以及恶意代码在网站上存在了多久。
重复出现的模式
这是过去半年内发生的第三起类似事件。2026年5月,Polymarket曾因内部操作钱包私钥泄露而损失约70万美元。2025年12月,该平台报告称,由于第三方提供商的漏洞,用户账户遭到入侵。系统性问题显而易见:Polymarket多次成为攻击目标,并非因其自身代码,而是通过第三方,这表明其对外部集成的审计不足。
在其他协议(如Ekubo、THORChain、Verus、Echo和Map Protocol)攻击频发的背景下,这一事件再次提醒我们:在DeFi领域,软件供应链安全已成为不容忽视的关键因素。
我的分析:赔偿损失是正确但迟来的举措。Polymarket必须彻底重新审视与承包商的合作政策,并对所有外部依赖项实施强制性审计。否则,尤其是在可能面临监管压力的前夕,该平台的声誉将彻底受损。预测市场价值巨大,不应因供应商选择上的疏忽而冒险。