預測市場平台 Polymarket 在攻擊者入侵第三方前端供應商後,損失了 310 萬美元,資金自 11 個使用者錢包被轉出。
平台本身已通過稽核的智慧合約在整起事件中始終保持完整未遭破壞。
根據一份報導,遭竊的 PUSD 代幣經由跨鏈橋,自 Polygon(POL)轉移到 Ethereum(ETH)。Polymarket 尚未在公開場合指明是哪一家供應商遭到入侵。
攻擊是如何運作的
前端供應商攻擊的目標,是連接使用者與平台底層合約的網頁介面。實際持有並管理資金的是智慧合約本身,但使用者是透過由第三方軟體供應商建置與維護的瀏覽器介面進行互動。
在這個案例中,攻擊者似乎是在該介面層注入惡意程式碼。於攻擊時間窗內與 Polymarket 前端互動的受影響使用者,其錢包授權被重新導向。在入侵被偵測出來之前,共有十一個錢包的資金遭到轉出。
智慧合約即使通過稽核,當攻擊向量發生在合約層「上游」時,其實能提供的防護相當有限。
安全事件後,監管調查加深平台壓力
自從美國商品期貨交易委員會(CFTC)開始調查該平台對美國使用者的開放情況以來,Polymarket 一直處於高度的監管關注之下。這項自 2026 年以來持續進行的 CFTC 調查,聚焦於 Polymarket 的預測市場,是否構成向美國使用者提供的未註冊商品合約。
在 2024 年美國大選期間,該平台因其市場被媒體廣泛引用來衡量總統選情賠率,而獲得主流關注。這種高曝光度既帶來使用者成長,也吸引了更多監管審視。正在進行中的 CFTC 調查,加上這起高調的安全事件,為平台營運團隊帶來疊加的信譽壓力。
預測市場的安全性一直是此領域反覆出現的疑慮。前端攻擊特別難以防範,因為它依賴於入侵第三方供應商,而非直接攻擊核心協議本身。過去兩年,多家 DeFi 平台遭遇過類似的供應鏈式入侵事件。
延伸閱讀:美光在 236% 漲勢後成為華爾街最新 AI 熱門標的
接下來會發生什麼
Polymarket 尚未證實是否會對受害使用者進行賠償。平台也尚未揭露遭入侵供應商的身分,使得外部單位難以對整條攻擊鏈進行安全審視。
CFTC 的調查為情勢再增一層複雜性。任何關於這起駭客事件的公開聲明,都有可能與正在進行的監管程序產生交集。遭竊資金經由橋接轉移至 Ethereum,理論上讓追蹤成為可能,但若沒有執法機關介入,前端供應商相關攻擊案能成功追回資金的情況相當罕見。