摘要:Polymarket pUSD被盗事件后续进展:攻击者将盗取资产通过Polygon桥接至以太坊,整合为约1,891.9枚ETH并分散存入三个新钱包。事件根源为第三方前端脚本被注入恶意代码,而非核心合约漏洞。受影响用户将获全额退款,链上追踪持续进行。
币圈界报道:
Polymarket pUSD被盗资金经桥接转入以太坊三新地址
与Polymarket pUSD被盗事件相关的资产再次发生链上转移。攻击者利用Relay机制完成跨链兑换,将原Polygon网络上的pUSD转换为ETH,并通过桥接操作迁移至以太坊主网。此次行为发生在第三方依赖项遭入侵后,恶意代码被嵌入部分用户前端界面,导致其在签署交易时意外授权资产转移。
前端脚本污染引发资产外流,非协议层漏洞
调查确认,攻击路径源于受感染的外部供应商组件,该组件向特定用户群体推送了含有隐蔽指令的前端代码。这使得用户在不知情情况下签署了允许资金转移的交易请求。尽管核心智能合约未被攻破,但这一事件暴露了前端生态中依赖项管理与用户签名验证环节的重大风险。
ETH资产分布于三个新以太坊地址,规模约1,891.9枚
当前被盗收益已整合为约1,891.9枚ETH,分别存放于三个新创建的以太坊钱包中。其中最大地址持有约1,788.5枚ETH,其余两个分别持有约100枚和3.4枚。这种分层结构可能用于测试不同资金路径、规避监控或为后续操作预留流动性。初始资金汇聚点为地址0xe65b1C586757c5510B60F998Eebb14C1eF71E1eD,目前所有新地址仍处于链上监测名单之中。
漏洞源头指向前端依赖治理薄弱,非系统性协议缺陷
Polymarket官方声明指出,本次事件影响范围限于前端交互层面,不涉及其核心协议逻辑。公司已移除受污染的第三方依赖项,并承诺对所有受影响用户实施全额补偿。此案例凸显了现代去中心化应用在依赖外部组件时面临的前端安全挑战,尤其是用户授权行为与钱包提示机制的潜在风险。
此次资金转移正值公司面临多重压力之际——美国参议员正就虚假投注推广问题向CFTC施压,而此次安全事件进一步加剧公众对其风控体系的质疑。目前,相关ETH余额仍在监控中,未来可能通过混币服务、交易所提币、场外交易或跨链桥接等方式继续流转,具体动向有待观察。
声明:本站所有文章内容,均为采集网络资源,不代表本站观点及立场,不构成任何投资建议!如若内容侵犯了原著者的合法权益,可联系本站删除。