资金费率
资金费率热力图
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
账号安全
资讯收藏
自选币种
TLDR:速览攻击始末
Polymarket遭受的攻击源于一个被攻破的第三方供应商,该供应商向平台前端注入了恶意JavaScript代码。
超过11个钱包在Polygon网络上损失了PUSD代币;被盗资金已通过跨链桥转移至以太坊,并兑换为1,893枚ETH。
Polymarket在首个公开报告发布后约15分钟内确认了安全漏洞,并移除了受影响的外部依赖项。
Polymarket承诺全额赔付所有受影响用户,同时链上调查人员持续追踪被盗的ETH。
事件概述
2026年6月25日,Polymarket遭遇供应链攻击,从用户钱包中盗走近300万美元。攻击者攻破第三方供应商,向平台前端注入恶意代码。该恶意脚本专门针对Polymarket在Polygon网络上的原生抵押代币PUSD。在平台控制住漏洞之前,至少有11个钱包遭受损失。Polymarket已移除受影响的外部依赖项,并承诺向所有受影响用户全额退款。
攻击如何抵达Polymarket用户
本次攻击并未针对Polymarket的智能合约。相反,攻击者攻破了一家为平台前端提供代码的第三方供应商。该供应商成为恶意JavaScript代码的入口点,这些代码直接传递到用户的浏览器中。
当受影响的用户连接钱包时,被注入的脚本随即激活。它提示用户签署或批准交易,且不引起明显的怀疑。这些批准操作将用户PUSD资产的控制权交给了攻击者。
链上调查员Specter率先公开标记了这一异常活动。他的报告指出,超过11个受害者钱包的损失总额约为294万美元。他还指出了主要的资产归集地址:0xe65b1C586757c5510B60F998Eebb14C1eF71E1eD。
Polymarket在Specter报告发布约15分钟后确认了此次攻击。该平台的公开声明写道:“今早我们发现一家第三方供应商遭到入侵,其向部分用户的前端注入了恶意脚本。我们已控制事态并移除了受影响的外部依赖项。我们正在联系受影响的用户并为他们提供全额退款。”
链上追踪被盗资金
钱包资产被清空后,攻击者迅速行动以掩盖踪迹。被盗的PUSD在事发后不久便从Polygon网络通过跨链桥转移至以太坊。这种跨链转移是加密货币洗钱流程中的常见步骤。
到达以太坊后,被盗资金被兑换为约1,893枚ETH。PeckShield在转发Specter的初始报告后确认了这一细节。随后,这些ETH被归集至调查人员标记的主要钱包地址。
在资金转移过程中还识别出多个中转钱包。这些地址包括0xC771A30a、0xC44F2Ca6、0x10366AdB和0x7BCECe0d。每个地址都在资产归集前的路由过程中发挥了作用。
尽管PUSD被盗规模较大,但该代币在整个事件期间保持了锚定价格。CoinGecko数据显示,事件发生后PUSD在Polygon网络的交易价格接近0.9998美元。本次盗窃针对的是个人钱包,而非代币本身的底层支持。
Polymarket的后续措施
Polymarket已承诺向所有受影响的用户全额赔付。平台表示正在直接联系受影响的钱包地址。这一承诺涵盖了本次供应链安全漏洞造成的全部损失。
这并非该平台首次出现周边安全事件。2026年5月,一个遭入侵的内部操作钱包被窃约50万美元,但用户资金未受影响。2025年初,评论区钓鱼攻击也曾导致部分用户损失资金。
上述每起事件都表明,协议本身保持完好。薄弱环节始终出现在周边基础设施中。6月25日的攻击事件也遵循同样的模式。
被盗的ETH在链上仍可追踪,这为追回资金保留了可能性。调查人员正在持续监控资产归集钱包。涉事第三方供应商的身份以及最终受害人数尚未公开披露。
