摘要:第三方服务商被攻陷导致Polymarket平台遭受供应链攻击,逾11名用户约300万美元资产被盗。平台已承诺全额赔偿并移除受感染依赖项,事件凸显前端层安全在监管趋严背景下的脆弱性。
币圈界报道:
第三方服务链路遭入侵,预测市场平台遭遇大规模前端欺诈
一起针对Polymarket的新型攻击事件暴露了其前端架构的潜在风险:黑客通过一个被攻陷的第三方服务提供商,在平台网页界面中注入恶意脚本,诱导超过11名用户批准虚假交易,最终窃取约300万美元数字资产。尽管智能合约本身未受影响,但用户钱包因误操作而被清空。目前平台已控制事态,并宣布将对所有受害者进行全额赔付。
前端嵌入式攻击成新威胁,用户信任被系统性利用
此次攻击并非直接突破Polymarket核心系统,而是借助其依赖的外部代码资源。攻击者篡改了由第三方提供的前端脚本,当用户访问页面时,恶意代码自动触发看似合法的签名请求。这些请求伪装成正常操作,实则赋予黑客对用户钱包的完全控制权。由于攻击发生在用户可见层面,传统安全机制难以识别,导致大量用户在无察觉情况下完成授权。
供应链攻击路径曝光,行业面临深层防御挑战
据区块链安全机构Peckshield分析,本次事件造成的损失约为300万美元,影响至少11名个体用户。关键在于,攻击者并未瞄准平台本身的智能合约或后端系统,而是选择攻击其软件生态中的薄弱环节——即外部依赖项。这种“供应链攻击”模式近年来在加密领域频繁出现,表明即使底层协议高度安全,前端交互层仍可能成为突破口。Polymarket已迅速下线受影响的服务模块,并确认链上锁定资金未被波及,仅限于签署异常交易的账户受损。
监管与安全双重压力加剧,平台合规防线再受考验
该事件发生于预测市场持续受到监管关注的敏感时期。2026年4月,Polymarket与竞争对手Kalshi均创下交易量新高,前者累计处理超一亿笔交易。然而,高活跃度也吸引了美国商品期货交易委员会(CFTC)的注意。近期CFTC对肯塔基州提起诉讼,质疑其将预测市场归类为体育博彩的尝试,反映出联邦与地方在管辖权上的冲突。在此背景下,平台虽已部署Chainalysis等监控工具以提升透明度,但此次前端漏洞再次暴露其在操作安全性方面的短板,迫使行业重新审视从开发到部署全链条的安全标准。
尽管平台以快速响应和全额赔偿缓解危机,但此次事件揭示了一个根本性问题:即便智能合约坚如磐石,前端界面一旦失守,用户的资产安全依然岌岌可危。这为整个去中心化金融生态敲响警钟,推动行业向更严格的前端审计与依赖管理迈进。
声明:本站所有文章内容,均为采集网络资源,不代表本站观点及立场,不构成任何投资建议!如若内容侵犯了原著者的合法权益,可联系本站删除。