通过第三方承包商对Polymarket发起攻击:平台承诺全额赔偿损失
预测市场平台Polymarket确认遭受攻击,导致用户损失约300万美元。事件起因于第三方承包商被入侵,攻击者得以在网站前端植入恶意脚本。Polymarket代表表示,已定位问题并移除危险依赖项,受损用户将获得全额赔偿。
攻击细节与损失规模
据链上分析师数据,此次攻击波及不到15个账户。攻击者从用户钱包中提取了pUSD代币。需要说明的是,pUSD是Polymarket在Polygon网络上的原生稳定币,通过智能合约以1:1比例由USDC支持。提取后,被盗资产被兑换为ETH并汇集至一个以太坊地址。截至分析时,资金仍留存在该地址,表明攻击者可能在等待有利时机进行洗钱。
需要强调的是:攻击针对的是用户界面,而非平台智能合约。这意味着Polymarket的基础设施未受影响,这在一定程度上降低了系统性风险,但并未减轻事件对受害者的严重性。
令人担忧的趋势:半年内第三起事件
这并非Polymarket首次遭遇安全问题。2026年5月,平台曾报告用于内部操作的钱包私钥泄露,当时损失约70万美元,但用户资金官方声明未受影响。而2025年12月,因第三方提供商漏洞导致多个账户被黑——当时未披露具体金额和受害者数量。
此类事件的反复发生,尤其是涉及第三方承包商的情况,引发了对Polymarket尽职调查和风险管理流程的严重质疑。对于一家志在引领预测市场领域的平台而言,这种安全层面的"成长阵痛"是不可接受的。
我的专家点评
尽管响应迅速并承诺全额赔偿,Polymarket仍需彻底改革其安全模式。通过第三方承包商反复遭受攻击,表明软件供应链存在系统性问题。市场需要的不仅是赔偿承诺,更需要透明的审计和分层防护机制的落实,包括将关键组件与第三方依赖项隔离。否则,下一次事件可能对用户信任造成致命打击。