Polymarket 承担承包商黑客攻击责任:赔偿损失与DeFi的警示信号
去中心化预测平台Polymarket正式宣布,将全额赔偿近期攻击事件中遭受损失的所有用户。经查明,此次事件与第三方承包商遭入侵有关,导致恶意脚本被植入用户界面。根据链上分析师的初步数据,总损失金额约为300万美元。
Polymarket代表澄清称,攻击已被定位,受感染的代码已被清除。团队已联系每位受害用户,并承诺全额退款。然而,关于具体是哪家承包商被入侵,以及恶意脚本活跃了多长时间等细节,目前尚未披露。
攻击细节:攻击者如何转移资金
根据分析服务PeckShield的数据,攻击者从受害用户钱包中盗取了约300万美元的pUSD代币。化名为Specter的分析师补充称,至少有11个钱包受到影响,确切损失约为294万美元。资金转移后,攻击者将pUSD兑换为ETH,并将所有资产整合至一个以太坊地址,截至撰写本分析时,这些资产仍留在该地址。需要强调的是,此次攻击仅影响平台的前端界面,而非其智能合约。
根据Bubblemaps的数据,受害账户数量不超过15个,这表明攻击具有针对性,而非大规模事件。然而,漏洞通过受信任的承包商产生这一事实,引发了对Polymarket生态系统安全流程的严重质疑。
系统性问题:半年内第三起事件
这并非Polymarket首次因第三方服务遭遇入侵。2026年5月,该平台曾报告内部运营钱包私钥泄露,导致70万美元损失。2025年12月,又因另一第三方供应商的漏洞发生用户账户被黑事件。因此,此次攻击是过去六个月内的第三起类似事件,表明平台在与外部合作方相关的风险管理方面存在长期问题。
在近期其他协议(Ekubo、THORChain、Verus)遭受攻击的背景下,这一事件再次提醒人们,即使是大型热门DeFi平台也无法幸免于供应链攻击。Polymarket承担责任并承诺赔偿的做法是正确的,但要恢复用户信任,仍需在审计和监控所有集成方面采取更系统性的措施。
专家观点:Polymarket展现了负责任的态度,迅速赔偿损失。然而,半年内发生三起事件是一个警示信号。市场需要的不仅是“应急”修复,而是安全流程的根本性重构,尤其是在与承包商合作方面。在更可靠的保护机制实施之前,用户在与平台交互时应暂时提高警惕。