Polymarket 承担责任:因承包商漏洞导致300万美元损失,全额赔付
去中心化预测平台Polymarket正式确认其前端基础设施因第三方供应商而遭到入侵。攻击者植入恶意脚本,影响了部分用户,据链上分析师称,约300万美元的pUSD代币被盗。项目方承诺将全额赔偿所有受害者的损失。
攻击细节:承包商成为突破口
Polymarket团队在例行监控中发现了此次事件。调查显示,负责部分客户端代码的第三方承包商遭到入侵,使攻击者能够将恶意脚本直接植入网站前端,进而拦截少量用户的交易或授权数据。平台迅速隔离了问题并删除了受感染的依赖项。
根据PeckShield链上侦探及化名Specter的分析师报告,损失金额在294万至300万美元之间。攻击者至少攻击了11个钱包,盗取了与Polygon上USDC按1:1锚定的pUSD代币。被盗资金随后被兑换为ETH,并转移至以太坊网络上的一个统一地址,截至分析发布时仍留存在该地址。需要强调的是,此次攻击仅涉及用户界面,而非Polymarket的基础智能合约,因此不存在全局协议风险。
Bubblemaps的研究人员进一步指出,受害账户数量不超过15个,证实了此次攻击的针对性。然而,被入侵承包商的具体身份以及恶意代码在网站上的存在时长尚未披露。
令人担忧的趋势:半年内第三起事件
这并非Polymarket首次遭遇安全事件。2026年5月,该平台曾因内部操作钱包私钥泄露导致约70万美元损失。2025年12月,又因另一第三方供应商的漏洞导致用户账户被入侵。因此,此次攻击已是过去六个月内的第三起类似事件,表明平台在供应链管理和第三方集成控制方面存在系统性问题。
我的分析:Polymarket展现了正确的应对方式,主动承担财务责任并承诺全额赔偿,这短期内有助于增强社区信任。然而,通过承包商反复遭受攻击是一个危险信号。项目方亟需彻底改革安全策略:强制对所有第三方库进行代码审计,使用隔离环境执行脚本,并提高对供应商的要求。否则,声誉风险可能最终超过财务补偿带来的正面影响。