摘要:预测市场平台Polymarket因第三方前端供应商遭攻击,导致11个用户钱包损失310万美元。智能合约未受损,但资金通过Polygon转移至以太坊。平台未披露供应商信息,叠加CFTC调查,使事件处理陷入复杂境地。
币圈界报道:
第三方前端漏洞致310万美元代币被盗,核心合约仍受保护
预测市场平台Polymarket遭遇重大安全事件,由于其依赖的第三方前端服务遭受入侵,11个用户钱包资金被非法提取,总损失达310万美元。值得注意的是,经过审计的底层智能合约系统未被破坏,资金流失源于前端交互层的安全缺陷。
上游接口被植入恶意代码,用户授权请求遭劫持
攻击者瞄准的是用户与协议之间的重要桥梁——前端网页界面。该界面由外部服务商开发和维护,负责呈现交易逻辑并接收用户操作指令。在此次攻击中,恶意脚本被注入前端代码,使得在特定时间段内访问平台的用户在不知情的情况下,其钱包授权请求被重定向至攻击者控制的地址,从而造成资产外流。由于攻击点位于合约调用之前,即便合约本身通过严格审计,也无法抵御此类供应链层面的威胁。
监管调查持续发酵,安全危机加剧声誉风险
自2024年起,美国商品期货交易委员会(CFTC)已对Polymarket是否向美国用户提供未经注册的商品合约展开全面审查。该平台在总统选举周期中频繁被主流媒体引用,其市场赔率数据引发广泛关注,也招致了更严格的合规审视。当前,一场正在进行的监管调查与一起高调的黑客事件同时发生,形成双重压力,严重冲击平台公信力。
追偿路径受限,执法介入成关键变量
截至目前,Polymarket尚未宣布是否将对受害者进行补偿,亦未公开被攻破的前端服务商名称,这使得外界难以还原攻击链条并开展独立安全评估。与此同时,CFTC的调查程序可能影响信息披露节奏,任何对外声明都需谨慎权衡法律后果。被盗的PUSD代币已经跨链桥从Polygon网络转移至以太坊,理论上具备追踪基础,但若缺乏执法机构深度介入,过往案例表明,由前端漏洞引发的资金追回几乎无先例可循。
声明:本站所有文章内容,均为采集网络资源,不代表本站观点及立场,不构成任何投资建议!如若内容侵犯了原著者的合法权益,可联系本站删除。