Polymarket供应链攻击致300万损失

Polymarket遭第三方入侵引发大规模资产流失

2026年6月25日，去中心化预测市场平台Polymarket遭遇严重供应链攻击，造成逾300万美元资产外流。此次事件源于一家为平台前端提供服务的第三方供应商遭黑客渗透，其代码被植入恶意JavaScript脚本，直接传递至用户浏览器。

攻击路径与技术实现

本次攻击未触及Polymarket的核心智能合约，而是通过外部依赖项实现入侵。攻击者利用供应商系统的安全缺陷，将恶意脚本嵌入前端代码中。当用户连接钱包时，该脚本自动触发，伪装成常规操作请求，诱导用户签署权限授权。

这些授权指令使攻击者获得对用户PUSD代币的控制权，进而完成资产清空。链上分析机构Specter最早披露异常行为，指出至少11个钱包遭受损失，总金额约为294万美元，并锁定主要资金归集地址：0xe65b1C586757c5510B60F998Eebb14C1eF71E1eD。

平台响应与漏洞处置

在Specter发布报告约15分钟后，Polymarket官方确认事件属实，并迅速采取行动。平台立即移除受感染的外部依赖项，阻断攻击传播路径。其公开声明强调：“我们已识别并隔离受影响的前端组件，当前系统处于安全状态。”

平台同时宣布将对所有受损用户进行全额赔偿，目前正通过链上数据主动联络相关钱包地址，启动退款流程。

资金转移路径与链上追踪

被盗的PUSD代币在短时间内经由跨链桥从Polygon网络迁移至以太坊，这是典型的资金清洗手段。到达以太坊后，资产被转换为约1,893枚ETH，PeckShield在转发调查信息时证实了这一转化过程。

多个中转地址参与了资金路由，包括0xC771A30a、0xC44F2Ca6、0x10366AdB和0x7BCECe0d，这些地址在归集前承担了分账与混淆功能。

值得注意的是，尽管发生大规模盗窃，但PUSD代币在事件期间仍维持其锚定价格，CoinGecko数据显示其交易价稳定在0.9998美元左右，表明问题出在用户钱包层面，而非代币机制本身。

历史背景与安全反思

这不是Polymarket首次面临周边安全威胁。2026年5月，内部运营钱包遭窃，损失约50万美元，但用户资金未受影响；2025年初也曾爆发评论区钓鱼攻击，导致部分用户误付资金。

上述案例揭示一个共性：协议核心仍具韧性，风险集中于生态外围基础设施。6月25日的攻击延续了这一模式，再次凸显第三方依赖管理的重要性。

目前，被盗的ETH仍在链上可追踪，调查人员持续监控主归集地址动向。涉事第三方供应商身份及最终受害人数尚未对外公布，案件仍在深入调查中。