预测市场平台 Polymarket 遭遇攻击,在攻击者攻破第三方前端服务商后,从 11 个用户钱包中共盗走 310 万美元资金。
事件期间,平台自身经过审计的智能合约始终未受影响。
据报道,被盗的 PUSD 代币通过跨链桥从 Polygon(POL)被转移至 Ethereum(ETH)。Polymarket 尚未公开点名被攻破的第三方服务商。
攻击是如何发生的
前端服务商攻击的目标是连接用户与平台底层合约的网页界面。资金由智能合约托管和管理,但用户是通过由第三方软件提供商搭建与维护的浏览器前端来交互。
在本次事件中,攻击者似乎是在这一界面层注入了恶意代码。受影响用户在攻击时间窗口内与 Polymarket 前端交互时,其钱包授权被重定向。11 个钱包在发现入侵之前已遭资金损失。
当攻击向量来自合约层“上游”时,即使智能合约本身通过了审计,也只能提供有限保护。
安全事件发生后,监管调查加剧平台压力
自美国商品期货交易委员会(CFTC)就平台向美国用户提供服务一事展开调查以来,Polymarket 一直处于高度监管关注之下。正在持续至 2026 年的 CFTC 调查重点在于:Polymarket 的预测市场是否构成向美国用户提供的、未注册的大宗商品合约。
在 2024 年美国大选周期中,该平台因其市场价格被媒体广泛引用为总统选举赔率参考而走入主流视野。这种曝光既带来了用户增长,也带来了监管审视。正在进行的 CFTC 调查与这起高调安全事件叠加,使平台运营方承受更大的声誉压力。
预测市场的安全性一直是该领域反复出现的隐忧。前端攻击尤其难以防范,因为其依赖攻破的是第三方供应商,而非核心协议本身。过去两年,已有多家 DeFi 平台遭遇类似的“供应链式”入侵。
延伸阅读:美光在 236% 暴涨后成华尔街最新 AI 迷恋对象
接下来会怎样
Polymarket 尚未确认是否会对受影响用户进行赔付。平台也未披露被攻破的第三方服务商身份,这限制了外部安全团队对完整攻击链条的审查。
CFTC 的调查使局面更加复杂。关于此次黑客事件的任何公开声明都可能与正在进行的监管程序产生交集。被盗资金通过跨链桥转移至以太坊,从原则上讲便于链上追踪,但在缺乏执法介入的情况下,前端服务商相关的攻击事件很少有资产追回的先例。