預測市場平台 Polymarket 遭遇攻擊,損失約 310 萬美元。攻擊者 入侵第三方前端 供應商,從 11 個用戶錢包中轉走資金。
在整個事件期間,平台本身經過審計的智能合約始終保持完整,未被破壞。
根據一份 報道,被竊的 PUSD 代幣是透過跨鏈橋自 Polygon (POL)轉移到 Ethereum (ETH)。Polymarket 尚未公開被入侵的第三方供應商名稱。
攻擊是如何進行的
前端供應商攻擊會鎖定連接用戶與平台底層合約的網頁介面。智能合約本身負責保管和管治資金, 但用戶實際是經由第三方軟件提供商打造和維護的瀏覽器前端層進行互動。
在這次事件中,攻擊者似乎在該介面層注入了惡意程式碼。於攻擊時間窗內與 Polymarket 前端互動的受影響用戶,其錢包授權被重定向。在入侵被發現前,共有 11 個錢包的資金被轉走。
即使智能合約通過了安全審計,當攻擊向量出現在合約層之上的上游環節時, 這種保護作用仍然相當有限。
安全事故後,監管調查進一步加壓
自美國商品期貨交易委員會(CFTC)就平台的美國用戶訪問情況展開調查以來, Polymarket 一直處於高度監管關注中。這項自 2026 年仍在持續的 CFTC 調查, 核心問題是 Polymarket 的預測市場是否構成向美國用戶提供的未註冊商品合約。
在 2024 年美國大選周期期間,該平台因其市場被廣泛用作媒體報道總統選情機率的參考而走入主流視野。 這種曝光同時帶來用戶增長與監管審視。正在進行的 CFTC 調查,疊加此次高調的安全事故, 使平台營運方面臨更大的聲譽壓力。
預測市場的安全風險一直是行業反覆出現的議題。前端攻擊格外難以防範, 因為攻擊目標是第三方供應商,而非核心協議本身。過去兩年,多個 DeFi 平台都遭遇過類似的供應鏈式入侵。
延伸閱讀: 美光成為華爾街最新 AI 迷思,股價暴漲 236% 後備受追捧
接下來會如何發展
Polymarket 尚未確認受影響用戶是否會獲得賠償。平台亦未披露遭入侵的前端供應商身份, 這限制了外部安全團隊對整個攻擊鏈條進行審查。
CFTC 的調查為事件增添了複雜度。任何關於此次駭客攻擊的公開聲明,都可能與正在進行的監管程序交疊。 由於被竊資金是透過橋接轉移到 Ethereum,理論上可以對其流向進行追蹤, 但在缺乏執法機關參與的情況下,前端供應商相關攻擊的追回案例相當罕見。