Polymarket 表示,在一起第三方供应商脚本被攻陷的事件中,约 300 万美元从不足 15 个账户被盗,平台将向用户全额赔付。
要点概览:
- Polymarket 称第三方供应商被攻陷,恶意代码被注入其前端。
- 安全研究人员追踪到损失约 300 万美元,涉及不到 15 个受影响账户。
- 此次入侵发生在另一管理员钱包事件之后,后者未波及用户资金。
Polymarket 被黑事件
Polymarket 于周五证实,攻击者利用一个被攻陷的第三方供应商,将恶意代码植入其前端,使部分用户暴露在“抽干钱包”的攻击中。
链上安全研究员 Specter 最先预警该漏洞,他表示,一次明显的网络钓鱼行动已经抽干了 11 个以上钱包中的资金,这些钱包持有 Polymarket 稳定币 PUSD (PUSD)。
Specter 估算损失约为 294 万美元,而 PeckShield 随后确认了类似数字,并称攻击者先将资金从 Polygon (POL) 跨链至 Ethereum (ETH),再将其兑换为 1,893 枚 ETH。
该平台通过其在 X 上的 Polymarket Traders 账户承认遭遇入侵,并表示相关依赖已被移除,受影响用户将被逐一联系。
“今天早上我们发现一家第三方供应商遭到攻陷,为部分用户向我们的前端注入了恶意脚本。我们已经控制住局面并移除了受影响的依赖。”该账号写道,“我们正在联系受影响用户,并向他们全额退款。”
延伸阅读:Anthropic 联合创始人称 AI 带来的第一波真实就业冲击正袭向毕业生
安全后续影响
与平台关系密切的 William LeGate 再次强调问题已得到解决,并称受影响用户将获得全额赔偿。
GoPlus Security 将这起事件描述为供应链攻击,称约有 15 个账户受到影响,总损失为 300 万美元。
Bubblemaps 得出了大体相同的结论,并在资金被抽走、漏洞被遏制后,对 Polymarket 的应对表示赞扬。
最新这起入侵事件加剧了外界压力,因为就在上个月,还发生了一起单独事故:一个用于员工奖励充值的管理员钱包损失了约 70 万美元,原因很可能是私钥泄露。
加密侦探 ZachXBT 最初估算那次损失约为 52 万美元,之后 Bubblemaps 在追踪多地址资金流向后给出了更高的数字。
开发者 Josh Stevens 称,一个已有 6 年历史的私钥通过内部配置暴露,此后公司轮换了凭证并迁移到密钥管理服务。
这两起事件都影响到围绕预测市场的系统,而非市场本身,但却发生在公司处境艰难的时期。《华尔街日报》最近报道称,Polymarket 向大学年龄段内容创作者每月支付 2,000 至 3,000 美元,以发布摆拍的投注视频;而本月又有一名交易者声称,与某个 Strategy 比特币抛售市场相关的规则调整让其损失了 50 万美元。





