Polymarket 承担责任:通过承包商遭受300万美元攻击后全额退款
预测市场平台Polymarket正式确认其基础设施通过第三方供应商遭到入侵,并承诺全额赔偿受影响用户的损失。据链上分析师估计,攻击者成功盗取了约300万美元的资产。
事件详情
此次攻击于2026年6月25日上午被发现。调查显示,恶意脚本通过一家被入侵的第三方承包商,被植入到部分用户的前端界面中。Polymarket团队迅速定位问题并移除了受感染的依赖项。平台代表康纳·布兰迪确认了资金被盗的事实,但拒绝进一步置评。
根据分析平台PeckShield的数据,损失约为300万美元。化名为Specter的分析师将具体金额修正为294万美元,并透露受影响钱包超过11个。而Bubblemaps则记录了不到15个受影响账户,并公布了部分地址,指出潜在损失已基本得到控制。
技术细节与资金流向
攻击者从用户钱包中提取了pUSD代币。需要说明的是,pUSD是Polymarket在Polygon网络上的原生代币,通过链上智能合约以1:1的比例由USDC支持。盗取后,黑客将资产兑换为ETH,并集中到一个以太坊地址中,截至撰写本文时,这些资金仍存放在该地址。需要强调的是:此次攻击仅影响用户界面,并未波及平台本身的智能合约。Polymarket尚未透露具体是哪家承包商被入侵,以及恶意代码在网站上存在了多久。
系统性问题:半年内第三起事件
这是Polymarket近几个月来第二起安全事件。2026年5月,该平台曾遭遇用于内部充值操作的钱包私钥泄露,当时损失约70万美元,但平台声称用户资金未受影响。从更广的视角看,这已是半年内第三起类似事件:2025年12月,Polymarket曾报告因第三方供应商漏洞导致多个账户被入侵,但未透露具体金额和受影响人数。
我的分析:Polymarket展现了负责任的态度,主动承担财务责任,但半年内三起事件对整个行业而言是一个警示信号。对第三方供应商的依赖正成为关键故障点。用户应当思考:DeFi平台的安全性,往往取决于其技术栈中最薄弱的第三方环节。