26.06.2026
13:28
Polymarket 在遭受承包商攻击后补偿用户 300 万美元损失:事件分析
预测平台Polymarket正式确认,因第三方承包商遭入侵导致黑客攻击,并承诺全额赔偿受影响用户的损失。据链上分析师数据,攻击者成功盗取约300万美元。
Polymarket团队声明称,恶意脚本被注入前端,仅影响少数用户。问题已被定位,相关依赖项已移除。平台代表康纳·布兰迪证实了资金被盗事实,但拒绝进一步置评。
攻击细节与资金流向
化名Specter的分析师估计损失达294万美元,并报告超过11个钱包被入侵。据PeckShield数据,攻击者提取了pUSD代币(通过Polygon智能合约与USDC 1:1锚定),随后将其兑换为ETH并汇集至以太坊网络的一个地址。截至撰写分析时,资金仍留存在该钱包中。
Bubblemaps进一步指出,此次攻击波及不到15个账户,潜在损失基本得到控制。需强调的是:事件影响的是用户界面,而非Polymarket底层智能合约。公司尚未披露具体哪个承包商被入侵,以及恶意代码在网站上存在了多久。
系统性问题:半年内第三起事件
这是Polymarket近几个月来第二次遭遇安全入侵。2026年5月,平台曾因内部操作钱包私钥泄露遭受约70万美元损失。2025年12月,第三方供应商漏洞导致账户被黑——当时未披露具体损失金额及供应商名称。
Cryptalist专家评论: 接连发生的第三方承包商事件暴露出供应商风险管理方面的根本性问题。作为最大预测平台,Polymarket应立即实施多层代码审查和严格的供应商访问策略。否则,用户信任——尤其在2028年大选前夕——可能彻底崩塌。目前全额赔偿损失虽是正确举措,但远远不够。
在Ekubo、THORChain、Verus等协议接连遭攻击的背景下,此事件凸显出即便是顶级DeFi平台也无法幸免于人为因素和外部集成带来的风险。