Polymarket 确认 $3M 来自用户的盗窃，系通过第三方漏洞导致

Polymarket 确认，黑客在 6 月通过一个受损害的第三方供应商，从超过 11 名用户手中盗取了约 300 万美元。根据区块链安全公司 Peckshield 的说法，此次攻击涉及恶意前端代码，通过钓鱼方式诱骗用户批准欺诈性交易。该公司表示，正在全额退款所有受影响受害者，并强调其核心基础设施和链上市场并未直接遭到入侵。这一事件凸显了预测市场在快速增长及监管审查加剧背景下所面临的安全挑战。

Polymarket 将攻击追溯至第三方供应商代码注入

Polymarket 披露，其外部供应商之一遭到攻陷，使攻击者能够向部分用户的前端注入恶意代码。被篡改的脚本驱动了一场钓鱼攻击，诱骗受害者批准欺诈性交易，进而从其关联钱包中盗走资金。

“我们已控制住事态，”Polymarket 表示，并补充说已移除受影响依赖。该公司强调，其自身的核心基础设施和链上市场并未遭入侵，薄弱环节在于一家第三方供应商，该供应商的代码通过 Polymarket 的网站提供。

区块链安全公司 Peckshield 估计，损失约 300 万美元，涉及超过 11 名受害者。此次攻击属于供应链型妥协，即攻击者针对可信供应商，进而入侵更大的平台，而非直接攻击该平台的系统。

由于恶意代码存在于网站前端而非底层智能合约中，攻击影响了大多数用户交互的层面。加载了被篡改页面的访问者被提示签署看似合法的交易，但实际上这些交易将资产控制权交给了攻击者。锁定在 Polymarket 链上市场中的资金从未直接面临风险，但批准了伪造交易的用户发现其钱包被清空。

图片来源：X

公司确认全额退款所有受影响的用户

Polymarket 表示，正在单独联系受害者处理退款，并承担此次源于其自身基础设施之外的入侵成本。该公司正在“全额”退款受影响的用户。

该平台迄今已处理超过 1 亿笔交易，成为加密货币领域最活跃的场所之一。Polymarket 及其竞争对手 Kalshi 共同推动了 4 月的创纪录月度交易量。

预测市场面临更高的安全与监管审查

Polymarket 近期部署了 Chainalysis 监控工具，以监测市场诚信。美国立法者就内幕交易保护措施对预测市场进行了调查，其中一项共和党法案旨在禁止国会议员及其家属就政策结果进行押注。

共和党众议员 Bryan Steil 提出了《停止议员预测法案》，该法案将禁止众议员、其家属及高级职员在预测市场平台上进行交易。

常见问题解答

Polymarket 在 6 月发生的安全漏洞中发生了什么？

黑客通过一个受损害的第三方供应商注入恶意代码，从超过 11 名 Polymarket 用户手中盗取了约 300 万美元。该攻击利用前端钓鱼手段诱骗用户批准欺诈性交易，从而清空其关联钱包。

Polymarket 如何回应受影响用户？

Polymarket 确认将全额退款所有受影响受害者，并表示已通过移除受损的第三方依赖控制住事态。该公司强调其核心基础设施和链上市场并未直接遭到入侵。