资金费率
资金费率热力图
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
账号安全
资讯收藏
自选币种
Polymarket pUSD盗取资金在供应商漏洞后转移至三个新以太坊钱包
与Polymarket pUSD盗取事件相关的资金再次发生转移。攻击者通过Relay转换了被盗资产,将价值从Polygon桥接至以太坊,并将所得收益整合为ETH。此次转移之前,因第三方依赖项被攻破,恶意代码被注入部分用户的前端界面,导致Polymarket用户遭遇供应商脚本盗取。Polymarket已控制住事态,移除了受影响的依赖项,并表示受影响的用户将获得全额退款。
攻击者的资金流向目前集中在从Polygon上持有pUSD的用户钱包中盗取的资产上。这些资金经过兑换和桥接操作,最终通过一个以太坊地址进行整合——该地址已被链上监测工具标记为盗取链的一部分。最新的资金移动本身并不代表新一轮受害者出现,而是反映了最初前端被攻破后的事后资金处理方式。
安全监测机构将此次盗取与钓鱼式执行和恶意授权活动联系起来,用户被诱导签署交易,从而让攻击者获得了转移pUSD的路径。这表明该事件属于前端和钱包签名层面的漏洞,而非确认的Polymarket智能合约漏洞。
ETH现分散于新钱包中
与攻击者相关的资金目前似乎存放在三个新以太坊钱包中,合计约1,891.9枚ETH。最大的钱包持有约1,788.5枚ETH,另外两个较小的钱包分别持有约100枚ETH和3.4枚ETH。这种分散方式将大部分价值集中在一个地址,同时将少量资金转移到单独钱包。此类结构可用于分阶段操作、测试流动性路径、准备后续跳转,或仅在下一次转移前分离操作余额。
最初的整合链经过地址0xe65b1C586757c5510B60F998Eebb14C1eF71E1eD,而目前最大的新钱包持有约1,788.5枚ETH。另外两个新钱包余额远低于此,仍是监测追踪链的一部分,而非独立确认的攻击者集群。确切最终目的地仍不明确。资金可能在通过混币器、交易所、场外交易路径、桥接或更多新钱包转移前,停留数小时或数天。目前的相关更新是,被盗的pUSD收益已从Polygon上的用户钱包转移至以太坊上的ETH余额中,可在以太坊上监测。
供应商漏洞仍是事件根源
Polymarket确认的事件范围比协议层面的漏洞更窄。一个受感染的第三方供应商向部分用户注入了恶意前端脚本,受影响的依赖项已被移除,公司表示将向受影响的用户退款。这一区分很重要,因为攻击路径取决于用户看到的内容及其签署的内容,而非Polymarket核心合约的确认漏洞。同时,这也将焦点集中在热门加密应用的前端依赖项、钱包提示、委托执行和用户签名风险上。
此次资金转移加剧了Polymarket艰难的一周。美国参议员已就虚假投注营销向CFTC施压,而pUSD盗取事件则引发了有关前端依赖项和钱包授权流程的独立安全问题。在pUSD盗取资金通过兑换和桥接转移后,与攻击者相关的ETH目前仍存放在这三个新钱包中。Polymarket表示受影响的用户将获得退款,同时链上监测机构持续追踪这些ETH余额,以观察是否有交易所存款、混币器交互、桥接转移或进一步整合的动向。
