摘要:2026年5月22日,Polymarket平台在Polygon网络的UMA CTF适配器合约遭遇攻击,超52万美元抵押资产被窃。链上分析显示,攻击源于部署者密钥泄露,而非合约逻辑缺陷,目前资金流向正被追踪。
币圈界报道:
Polymarket平台因密钥外泄导致超52万美元资产遭劫
2026年5月22日,Polymarket在Polygon网络上的UMA CTF适配器合约发生严重安全事故,超过52万美元的抵押资产被转移。链上调查员ZachXBT在社群中发布预警,指出攻击者可能利用了已被泄露的部署者私钥实施入侵。资产转移集中发生在世界标准时间09:00左右,短时间内完成。截至报告时,Polymarket与UMA官方尚未发布正式声明。
管理合约异常触发资产流失风险
此次攻击针对的是地址为0x91430C…E5c5的Polymarket UMA CTF适配器管理合约,该可升级代理合约负责控制存储市场抵押资产的核心模块。区块链数据表明,管理合约在09:00:30附近出现异常行为,暗示可能存在代理模式权限配置错误。
事件初期即出现Polygon原生代币POL的异动。09:00:49,管理合约从一Polymarket关联地址接收5,000枚POL,五秒后立即向攻击者控制地址转出约9,994枚POL。09:01:19再次有5,000枚POL流入,随后于09:01:26转移至同一目标地址,约5,000枚。短短一分钟内,适配器损失逾10,000枚POL。
被盗资金来源的两个地址0x871D7c0f与0xf61e39C7此前曾向适配器注入抵押资产,现均被攻击者通过管理权限提取。主要接收地址在获得资金后迅速展开整合操作,疑似进行洗钱准备。
攻击根源指向密钥失守而非协议缺陷
对管理合约初始化调用链的追溯显示,本次事件暴露的是密钥管理不当与初始部署漏洞,而非UMA乐观预言机机制本身存在问题。尽管合约基于UMA架构构建,但越权行为发生在访问控制层,攻击者借此获取了仅限管理员执行的权限。
存在两种可能性:一是部署过程中使用了已被盗取的私钥;二是未初始化的代理合约被恶意利用。一旦获得管理员身份,攻击者无需复杂技术即可完全掌控并提取全部抵押资产。
此类手法与2026年初多起类似事件高度相似。例如Step Finance因执行密钥与多签机制缺陷损失约2730万美元;同年4月,Drift Protocol因社会工程攻击导致管理员密钥泄露,造成价值约2.85亿美元的无价值抵押资产被误加入白名单。上述案例中,所有智能合约均未发现代码级漏洞。
可疑钱包活动呈现资金混洗迹象
地址0x8F98075d应被标记为高危目标,其作为POL资产转移的主要接收方,极可能成为资金进出Polygon网络的关键节点。参与初始化调用的中间地址0x65070BE9亦被判定为攻击者控制,需纳入重点监控范围。
根据历史模式推断,攻击者后续或通过跨链桥进行资金清洗。在Drift Protocol事件中,部分被盗资产经由Circle旗下跨链协议转入以太坊。截至目前,尚未监测到相关地址出现大规模跨链转移行为。
声明:本站所有文章内容,均为采集网络资源,不代表本站观点及立场,不构成任何投资建议!如若内容侵犯了原著者的合法权益,可联系本站删除。