币圈界报道：

第三方漏洞引发平台前端入侵，用户资产遭批量盗取

2026年6月25日，Polymarket遭遇一场由外部供应商沦陷触发的供应链攻击，攻击者通过已失守的第三方代码服务向平台前端植入恶意JavaScript脚本，直接作用于用户浏览器环境。

攻击路径穿透前端防线，用户签署权被非法劫持

此次攻击未触及核心智能合约，而是利用前端依赖项的薄弱环节作为突破口。当用户连接钱包时，被注入的脚本自动诱导其签署看似常规的交易授权，实则将PUSD代币控制权移交至攻击者账户。

链上分析机构Specter率先披露异常行为，指出超过11个钱包遭受损失，总金额接近294万美元。关键归集地址0xe65b1C586757c5510B60F998Eebb14C1eF71E1eD已被标记，成为后续追踪重点。

资金快速跨链转移，洗钱流程启动并完成

在资产被清空后，攻击者立即通过跨链桥将被盗的PUSD从Polygon网络转移至以太坊，这是典型的钱包清洗手段。到达以太坊后，代币迅速被兑换为约1,893枚ETH。

PeckShield确认了该兑换行为，并追踪到多个中转地址：0xC771A30a、0xC44F2Ca6、0x10366AdB与0x7BCECe0d，这些节点在资金聚合前承担了路由功能。

值得注意的是，尽管代币规模受损，但PUSD在事件期间维持锚定价格，交易价稳定在0.9998美元附近，表明其底层机制未受破坏，损失集中于用户端而非协议本身。

平台响应迅速，全额赔付承诺落地

Polymarket在收到首次公开报告约15分钟后即确认漏洞存在，并立即移除受影响的外部依赖项。官方声明强调：“我们已控制事态，正在为所有受影响用户安排全额退款。”

该平台此前曾多次经历周边安全事件：2026年5月内部操作钱包被盗约50万美元，但用户资金无损；2025年初评论区钓鱼攻击亦造成部分用户损失。三起事件均指向同一模式——协议核心稳固，风险集中于外围基础设施。

当前被盗的ETH仍处于可追踪状态，调查人员持续监控主要归集地址。涉事第三方供应商身份及最终受害者数量尚未公布，追赃可能性仍存。