第三方服务漏洞致平台遭袭，用户资产面临严重威胁

预测市场平台 Polymarket 周四披露，其一家关键第三方供应商遭遇网络攻击，进而引发平台前端界面被植入恶意代码，造成用户资金外泄。据初步评估，此次事件导致用户损失金额接近300万美元。

外部接口成安全短板，攻击路径隐蔽难防

尽管 Polymarket 未公开涉事供应商名称，但通过其在 X 平台发布的声明可知，攻击者成功将恶意脚本注入平台前端，从而绕过核心系统防护机制。该技术手段使攻击行为在常规监控中难以被察觉，显著增加了防御难度。

被盗资金已锁定于单一钱包，追回可能性存疑

调查数据显示，攻击者从用户钱包中提取了以 pUSD 形式存在的稳定币，并迅速将其兑换为以太坊，集中转移至一个以太坊地址。截至当前，这些资产仍处于该地址内，尚未发生进一步流转，但链上追踪显示其归属路径清晰，追回或监管干预存在理论可能。

连续两起事件暴露外包管理缺陷，安全体系亟待重构

这并非 Polymarket 首次遭遇类似攻击。上月，公司内部用于发放奖励的钱包因私钥泄露导致约70万美元损失，当时虽未波及主系统，但已暴露出对第三方权限控制不足的问题。两次事件均表明，即使协议本身具备高安全性，一旦外围环节出现疏漏，仍可能引发系统性风险。

目前，平台已承诺为所有受影响用户办理全额赔偿，并确认前端漏洞已被修复。然而，如何强化与外部服务商的安全协同机制，仍是其未来必须解决的核心课题。