加密新闻

去中心化预测平台Polymarket正式宣布，在近期一次影响网站客户端的攻击后，将向受影响用户全额退款。此次事件源于第三方承包商遭入侵，攻击者得以向部分访客的界面植入恶意脚本。据链上分析师估算，损失约为300万美元。

攻击细节：并非智能合约，而是前端

团队声明称，问题已迅速定位，受感染的依赖项已被移除。需要强调的是，此次攻击仅影响用户界面，而非Polymarket的基础智能合约。这意味着预测市场的核心逻辑及协议中存储的资金均未受影响。攻击者主要针对用户钱包实施钓鱼攻击。

化名为Specter的分析师记录到，超过11个钱包共被提取约294万美元资金。被盗的pUSD代币（根据平台文档，该代币通过Polygon上的链上合约以1:1比例由USDC支持）被兑换为ETH，并汇集至一个以太坊地址。截至本文撰写时，这些资金仍留存在该地址中。

令人担忧的趋势：半年内第三起事件

这并非Polymarket首次因第三方遭遇安全问题。2026年5月，平台曾报告内部操作私钥泄露，导致约70万美元损失。2025年12月，又因另一服务商的漏洞发生用户账户被黑事件。近半年来连续三起类似事件，引发了对平台在承包商选择过程中审计与风险管理流程的严重质疑。

我的分析：Polymarket展现了正确的应对方式，迅速承担财务责任。然而，通过承包商发起的攻击反复出现，表明其在软件供应链管理方面存在系统性问题。对于一个志在成为预测市场领域领导者的去中心化平台而言，缺乏针对第三方代码的隔离环境以及正式的更新验证流程，是一种架构层面的漏洞——若不加以修复，此类攻击必将再次发生。